Разработчики: | Cymulate |
Дата премьеры системы: | 2022/07/05 |
Содержание |
Основные статьи:
2022: Анонс Hopper White Hat
5 июля 2022 года стало известно о том, что создан червь для защиты от других червей. Hopper является инструментом белых хакеров для защиты и анализа уязвимостей системы.
Как сообщалось, на июль 2022 года черви — наиболее разрушительная сила в области информационной безопасности, приносящая многомиллионные ущербы для компаний. Несмотря на это, существуют вирусы, которые приносят пользу. Таким вирусом является Хоппер (Hopper).
Инструменты обнаружения плохо выявляют распространение, не основанное на эксплойтах, с чем лучше всего справляются черви. Большинство ИБ-решений менее устойчивы к методам атак червей, таким как использование токена олицетворения (token impersonation - позволяет совершать какие-либо действия от имени другого пользователя), и другим, использующим преимущества несовершенных внутренних конфигураций — набор библиотек PAM, сегментация, небезопасное хранилище учетных данных и т. д.
Хоппер — это червь с командами и контролем, встроенным повышением привилегий и многими другими самыми опасными способностями саморазмножающегося вируса. Hopper сообщает своим White Hat операторам, где и как ему удалось проникнуть в сеть. Он сообщает, как далеко он продвинулся, что нашел по пути и как улучшить защиту.
Команда разработчиков Cymulate создала Hopper на основе стейджера - небольшого исполняемого файла в качестве начальной полезной нагрузки, которая подготавливает более крупную полезную нагрузку. Стейджер также служит PE упаковщиком (программой, которая косвенно загружает и выполняет программы из пакета). Стейджер был написан так, что начальную полезную нагрузку не нужно менять после обновления Хоппера.
Чтобы максимизировать гибкость Hopper, команда Cymulate добавила различные методы начального выполнения, методы связи, способы получения первоначальной полезной нагрузки, различные методы внедрения и многое другое.
Для создания скрытного червя разработчики сделали конфигурации почти полностью управляемыми оператором:
- Начальная конфигурация полезной нагрузки — полностью настраиваемые методы выполнения, включая исполняемые файлы, библиотеки, Python сценарии, шелл-коды, PowerShell сценарии и др.;
- Конфигурация полезной нагрузки первого этапа — настраиваемые методы получения и внедрения пакетов;
- Конфигурация маяка второго этапа — настроенные каналы связи и время ожидания подтверждения активности, а также джиттер (колебания задержки, означающие, что пакеты отправляются и принимаются с разной скоростью).
- API — беспроводное добавление возможностей, включая методы связи, методы распространения и эксплойты.
Первоначальное развертывание Хоппера выполняется в памяти и поэтапно. Первый этап представляет собой небольшую заглушку с ограниченными возможностями. Заглушка запускает более важный фрагмент кода вместо того, чтобы содержать код внутри себя, что затрудняет пометку файла как вредоносного.
Для повышения привилегий авторы выбрали разные методы обхода UAC, используя уязвимые (диспетчер очереди печати) и неправильно настроенные службы, а также автозапуск для оптимизации привилегий или сохранения в сети. Hopper использует минимальные привилегии для достижения своих целей. Например, если машина предоставляет пользователю доступ к целевому устройству, Хопперу может не повышать привилегии для распространения на устройстве.
Hopper имеет централизованное управление учетными данными, что позволяет ему распределять данные между экземплярами. Все варианты Hopper имеют доступ к собранным учетным данным, поэтому отсутствует необходимость дублировать конфиденциальную базу данных на других машинах.
Для распространения Хоппер использует неправильные конфигурации эксплойтов. Неправильную настройку сложно обнаружить как вредоносную активность. Например, неправильные настройки Active Directory могут открыть доступ к ресурсу. Также неправильные настройки ПО могут позволить пользователю удаленно выполнить код.
Команда Cymulate выбрала выполнение в памяти для Hopper, поскольку выполнение в памяти использует прямые системные вызовы вместо вызовов API, которые могут отслеживаться EDR продуктами. Если Хопперу действительно необходимо использовать функции API, он предварительно обнаруживает и выгружает EDR перехватчики.
Чтобы сохранить скрытность, Хоппер связывается с C2 сервером в рабочее время, маскируя активность обычной рабочей активностью. Он также взаимодействует только с серверами из списка разрешенных (например, Slack, Google Таблицы или другие общедоступные службы).
Для предотвращения атак червей подходящим решением является Hopper White Hat. Хоппер превращает силу червя в настоящий инструмент защиты[1].
Смотрите также