Site icon Kiber.ba

Hakeri koriste AV/EDR alat “EDRSandBlast” da zaobiđu krajnje tačke

Hakeri koriste AV/EDR alat “EDRSandBlast” da zaobiđu krajnje tačke-Kiber.ba

Hakeri koriste AV/EDR alat “EDRSandBlast” da zaobiđu krajnje tačke-Kiber.ba

AV, anti-malware i EDR su alati koji se prvenstveno koriste za otkrivanje i sprječavanje cyber-napada.

Dok su AV/EDR alati za obilaznicu dizajnirani da izbjegnu detekciju od strane AV i EDR sistema. Ove alate često koriste hakeri u nekoliko malicioznih svrha.

Istraživači kibernetičke sigurnosti u jedinici 42 kompanije Palo Alto Networks nedavno su otkrili da hakeri aktivno koriste AV i EDR alate za zaobilaženje foruma o sajber kriminalu kako bi zaobišli krajnje tačke.

EDRSandBlast za zaobilaženje odbrane

Istraga o incidentu iznude otkrila je dvije narušene krajnje tačke koje koriste zastarjele Cortex XDR agente. 

Ove krajnje tačke su korištene za testiranje AV/EDR alata za zaobilaženje pod nazivom “disabler.exe”, to je modifikovana verzija “EDRSandBlast” dizajnirana da onemogući sigurnosne zakačke u bibliotekama u korisničkom načinu rada i povratne pozive u kernel modu.

Istraga je otkrila virtuelnu mašinu (naziv hosta: DESKTOP-J8AOTJS) koja sadrži sofisticirane alate za napad, uključujući “ Mimikatz ” (alat za prikupljanje akreditiva), “generatore shellcode-a”, “uslužne programe kernel drajvera” i “alatke za zamagljivanje koda”. 

Značajna otkrića uključuju “ContiTraining.rar” (koji sadrži procurele Conti ransomware priručnike), zajedno sa fajlovima koji se povezuju na forume o sajber kriminalu XSS i Exploit preko korisnika poznatog kao “Marti71” i “KernelMode”. 

Lanac događaja na visokom nivou (izvor – Palo Alto Networks)

Međutim, analiza sistema je otkrila veze sa domenima poput ‘temp.vxsh.net’ (koristi se za lažne AV/EDR tokene) i dokaze o testiranju alata putem ‘Oracle VM VirtualBox-a.’ 

Operativna sigurnost hakera bila je ugrožena kroz artefakte uključujući P-1 obrazac iz Kazahstana, historiju preglednika koja pokazuje posjete ya.ru i sourceforge.net, i video demonstracije snimljene pomoću OBS Studija koje su prikazivale “WinBox” (alatka za administraciju rutera Mikrotik) korištenje pod korisničkim imenom koje počinje s “Andry.” 

P-1 obrazac oporavljen od lažnog sistema (Izvor – Palo Alto Networks)

Krajnje točke su sadržavale strukturu direktorija “Z:\freelance” koja je pomogla mapirati veze između različitih kriminalnih podružnica i njihovih alata.

Osim toga, sigurnosna istraga je otkrila sofisticirani cyber napad s taktikom koja odgovara Conti ransomware priručniku, posebno kroz nekoliko tehničkih pokazatelja kao što su:- 

Analiza konfiguracije Cobalt Strike otkrila je veze sa otprilike “160” jedinstvenih IP adresa i imena domena sa nekim infrastrukturnim preklapanjem sa “Dark Scorpius” (aka ‘Black Basta’) ransomware operacijama. 

Proboj u istrazi došao je otkrićem narušenog sistema označenog “DESKTOP-J8AOTJS”, koji je sadržavao otkrivajuće artefakte poput demonstracionih video zapisa AV/EDR alata za premošćivanje i P-1 obrasca troškova. 

Ovi operativni sigurnosni propusti naveli su istražitelje da identifikuju osobu po imenu “Andry” iz Kazahstana, koja izgleda da djeluje pod pseudonimom “KernelMode” na forumima o sajber kriminalu. 

Linkedin profil skitnice (izvor – Palo Alto Networks)

Vjeruje se da je ova osoba aktivna u razvoju „sofisticiranih AV/EDR alata za premošćivanje“ koji se distribuiraju putem „modela zasnovanih na pretplati“ na podzemnim tržištima. Međutim, direktni dokazi koji ih povezuju sa stvarnim upadom u mrežu ostaju nejasni.

Tehnička sofisticiranost napada sugeriše da je napad prekinut prije nego što je dostigao svoju završnu fazu, što naglašava evoluirajuću prirodu modernih sajber prijetnji koje kombinuju i “automatizirane alate” i “ljudsku ekspertizu”.

Izvor: CyberSecurityNews

Exit mobile version