AV, anti-malware i EDR su alati koji se prvenstveno koriste za otkrivanje i sprječavanje cyber-napada.
Dok su AV/EDR alati za obilaznicu dizajnirani da izbjegnu detekciju od strane AV i EDR sistema. Ove alate često koriste hakeri u nekoliko malicioznih svrha.
Istraživači kibernetičke sigurnosti u jedinici 42 kompanije Palo Alto Networks nedavno su otkrili da hakeri aktivno koriste AV i EDR alate za zaobilaženje foruma o sajber kriminalu kako bi zaobišli krajnje tačke.
EDRSandBlast za zaobilaženje odbrane
Istraga o incidentu iznude otkrila je dvije narušene krajnje tačke koje koriste zastarjele Cortex XDR agente.
Ove krajnje tačke su korištene za testiranje AV/EDR alata za zaobilaženje pod nazivom “disabler.exe”, to je modifikovana verzija “EDRSandBlast” dizajnirana da onemogući sigurnosne zakačke u bibliotekama u korisničkom načinu rada i povratne pozive u kernel modu.
Istraga je otkrila virtuelnu mašinu (naziv hosta: DESKTOP-J8AOTJS) koja sadrži sofisticirane alate za napad, uključujući “ Mimikatz ” (alat za prikupljanje akreditiva), “generatore shellcode-a”, “uslužne programe kernel drajvera” i “alatke za zamagljivanje koda”.
Značajna otkrića uključuju “ContiTraining.rar” (koji sadrži procurele Conti ransomware priručnike), zajedno sa fajlovima koji se povezuju na forume o sajber kriminalu XSS i Exploit preko korisnika poznatog kao “Marti71” i “KernelMode”.
.webp)
Međutim, analiza sistema je otkrila veze sa domenima poput ‘temp.vxsh.net’ (koristi se za lažne AV/EDR tokene) i dokaze o testiranju alata putem ‘Oracle VM VirtualBox-a.’
Operativna sigurnost hakera bila je ugrožena kroz artefakte uključujući P-1 obrazac iz Kazahstana, historiju preglednika koja pokazuje posjete ya.ru i sourceforge.net, i video demonstracije snimljene pomoću OBS Studija koje su prikazivale “WinBox” (alatka za administraciju rutera Mikrotik) korištenje pod korisničkim imenom koje počinje s “Andry.”
.webp)
Krajnje točke su sadržavale strukturu direktorija “Z:\freelance” koja je pomogla mapirati veze između različitih kriminalnih podružnica i njihovih alata.
Osim toga, sigurnosna istraga je otkrila sofisticirani cyber napad s taktikom koja odgovara Conti ransomware priručniku, posebno kroz nekoliko tehničkih pokazatelja kao što su:-
- Napadači su koristili Ateru za početni pristup i upornost.
- Razmješteni Cobalt Strike farovi (ID vodenog žiga: 1357776117) za C&C.
- Koristi se PsExec za bočno kretanje.
- Koristi Rclone za krađu podataka.
Analiza konfiguracije Cobalt Strike otkrila je veze sa otprilike “160” jedinstvenih IP adresa i imena domena sa nekim infrastrukturnim preklapanjem sa “Dark Scorpius” (aka ‘Black Basta’) ransomware operacijama.
Proboj u istrazi došao je otkrićem narušenog sistema označenog “DESKTOP-J8AOTJS”, koji je sadržavao otkrivajuće artefakte poput demonstracionih video zapisa AV/EDR alata za premošćivanje i P-1 obrasca troškova.
Ovi operativni sigurnosni propusti naveli su istražitelje da identifikuju osobu po imenu “Andry” iz Kazahstana, koja izgleda da djeluje pod pseudonimom “KernelMode” na forumima o sajber kriminalu.
.webp)
Vjeruje se da je ova osoba aktivna u razvoju „sofisticiranih AV/EDR alata za premošćivanje“ koji se distribuiraju putem „modela zasnovanih na pretplati“ na podzemnim tržištima. Međutim, direktni dokazi koji ih povezuju sa stvarnim upadom u mrežu ostaju nejasni.
Tehnička sofisticiranost napada sugeriše da je napad prekinut prije nego što je dostigao svoju završnu fazu, što naglašava evoluirajuću prirodu modernih sajber prijetnji koje kombinuju i “automatizirane alate” i “ljudsku ekspertizu”.
Izvor: CyberSecurityNews
