Tehdit aktörleri, daha az bilinen benzer çerçeveler lehine kobalt grev penetrasyon testi paketini döküyor. Brute Ratel'den sonra, Sliver olarak adlandırılan açık kaynaklı, platformlar arası kit çekici bir alternatif haline geliyor.
Bununla birlikte, şerit kullanılarak kötü niyetli aktivite, araç setini analiz etmekten çizilen av sorguları, nasıl çalışır ve bileşenleri kullanılarak tespit edilebilir.
Geçtiğimiz yıllarda, Cobalt Strike, fidye yazılımı operasyonları da dahil olmak üzere çeşitli tehdit aktörleri için bir saldırı aracı olarak popülerlik kazandı, bu da yanal olarak yüksek değerli sistemlere taşınmasına izin veren tehlikeye atılmış ağlara düştü.
Savunucular bu araç setine dayanarak saldırıları tespit etmeyi ve durdurmayı öğrendiğinden, bilgisayar korsanları uç nokta algılama ve yanıtından (EDR) ve antivirüs çözümlerinden kaçabilecek diğer seçenekleri deniyorlar.
Kobalt grevine karşı daha güçlü savunmalarla karşı karşıya kalan tehdit aktörleri alternatifler buldu. Palo Alto Networks, güvenlik ürünlerinden kaçınmak için tasarlanmış bir düşman saldırı simülasyon aracı olan Brute Ratel'e geçtiklerini gözlemledi.
Microsoft'un bir raporu, devlet destekli gruplardan siber suç çetelerine kadar bilgisayar korsanlarının, Bishopfox Cybersecurity Company'deki araştırmacılar tarafından geliştirilen GO tabanlı şerit güvenlik test aracı saldırılarda gittikçe daha fazla kullanıldığını belirtiyor.
“Microsoft, Nation-State Tehdit Aktörleri, Fidye Yazılımı ve Gastiden Doğru Destekleme Destekleme Grupları ve Tespitten Kaçınan Diğer Tehdit Oyuncuları tarafından Şerit Komuta ve Kontrol (C2) Çerçevesinin şu anda kabul edildiğini ve entegre edilmesini gözlemledi”-Microsoft.
Kabul eden bir grup, Microsoft tarafından Dev-0237 olarak izlenir. Fin12 olarak da bilinen çete, çeşitli fidye yazılımı operatörleriyle bağlantılıdır.
Çete, geçmişte çeşitli fidye yazılım operatörlerinden (Ryuk, Conti, Hive, Conti ve Blackcat) Bazarloader ve Trickbot da dahil olmak üzere çeşitli kötü amaçlı yazılımlar aracılığıyla fidye yazılımı yüklerini dağıttı.
İngiltere'nin hükümet iletişim merkezinden (GCHQ) bir rapora göre, Rusya'daki devlet destekli aktörler, özellikle APT29 (diğer adıyla Cozy Bear, Dukes, Grizzly bozkır), tehlikeye giren ortamlara erişimi sürdürmek için şeridi kullandı.
Microsoft, Sliver'ın Bazarloader'ın yerine Conti Sendikası ile ilişkili olan Bumblebee (ColdTrain) kötü amaçlı yazılım yükleyicisi kullanılarak daha yeni saldırılarda konuşlandırıldığını belirtiyor.
Yeni bir tehdit olmasına rağmen, şerit çerçevesinin neden olduğu kötü niyetli etkinlikleri ve daha kapsamlı tehditlerin tespit edilmesi için yöntemler vardır.
Microsoft, savunucuların şerit ve diğer ortaya çıkan C2 çerçevelerini tanımlamak için kullanabileceği bir dizi taktik, teknik ve prosedür (TTP) sağlar.
Şerit C2 ağı birden fazla protokolü (DNS, HTTP/TLS, MTLS, TCP) desteklediğinden ve implantları/operatör bağlantılarını kabul ettiğinden ve meşru bir web sunucusunu taklit etmek için dosyaları barındırabildiğinden, tehdit avcıları ağ için anormallikleri tanımlamak için dinleyicileri ayarlayabilir. Şerit altyapısı.
“Bazı yaygın eserler, ikincisi TLS sunucuları için aktif parmak izi teknikleri olan benzersiz HTTP başlık kombinasyonları ve jarm karmalardır” - Microsoft
Microsoft ayrıca, C2 çerçevesi için resmi, dışlanmamış kod tabanı kullanılarak oluşturulan şerit yüklerinin (Shellcode, yürütülebilir dosyalar, paylaşılan kütüphaneler/DLL'ler ve hizmetler) nasıl tespit edileceği hakkında bilgi paylaştı.
Tespit mühendisleri yükleyiciye özgü tespitler oluşturabilir [ör. Bumblebee] veya kabuk kodu gizlenmezse, yükleyiciye gömülü olan kabuk kodu yükü için kurallar.
Çok fazla bağlamı olmayan şerit kötü amaçlı yazılım yükleri için Microsoft, çerçevenin bunları kullanabilmeleri için bunları engellemesi ve şifresini çözmesi gerektiğinden, konfigürasyonları belleğe yüklendiklerinde çıkarmanızı önerir.
Belleğin taranması, araştırmacıların yapılandırma verileri gibi ayrıntıları çıkarmalarını sağlayabilir:
Tehdit avcıları ayrıca, varsayılan şerit kodunun ortak uygulamalardan sapmadan elde ettiği işlem enjeksiyonu için kullanılan komutları da arayabilirler. Bunun için kullanılan komutlar arasında:
Microsoft, araç setinin komut enjeksiyonu için uzantılar ve takma adlara (Beacon Nesne Dosyaları (BFOS), .NET uygulamaları ve diğer üçüncü taraf araçlarına) dayandığını belirtiyor.
Çerçeve ayrıca yanal harekete izin veren komutları çalıştırmak için Psexec kullanır.
Defender tarafından korunan işletmelerin çevrelerindeki şerit etkinliğini tanımlamasını kolaylaştırmak için Microsoft, yukarıda belirtilen komutlar için Microsoft 365 Defender portalında çalışabilecek bir dizi av sorguları için oluşturdu.
Microsoft, sağlanan algılama kuralı setlerinin ve avcılık rehberliğinin şu anda herkese açık olarak mevcut olan Sliver kod tabanı için olduğunu vurgulamaktadır. Özelleştirilmiş varyantların kullanımı, Microsoft'un sorularına dayalı olarak algılamayı etkilemesi muhtemeldir.
Binlerce hacker 'Dark Utilities' C2-Hizmet Olarak Akın
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Windows 11 KB5016691 Önizleme Güncellemesi 22 değişiklik ile yayınlandı
'Kimsuky' bilgisayar korsanları, kötü amaçlı yazılımlarının yalnızca geçerli hedeflere ulaşmasını nasıl sağlar?
Windows Terminali artık Windows 11 Dev Builds'deki varsayılan terminaldir
Kaynak: Bleeping Computer