More

    Hakeri koriste Pyramid Pentesting alat za prikrivenu C2 komunikaciju

    By Đorđe
    Novosti

    Hakeri koriste open-source alat za pentestiranje Pyramid-a kako bi uspostavili prikrivenu komunikaciju zapovijedanja i kontrole (C2).

    Pyramid, prvi put objavljen na GitHub-u 2023. godine, je okvir za post-eksploataciju zasnovan na Python-u dizajniran da izbjegne alate za otkrivanje krajnjih tačaka i odgovor (EDR).

    Njegove lagane mogućnosti HTTP/S servera čine ga atraktivnim izborom za maliciozne hakere koji žele da minimizuju otkrivanje.

    Pyramid je izgrađen na Python-ovom legitimnom prisustvu u mnogim okruženjima, koristeći HTTP/S server baziran na Python-u za isporuku datoteka i djeluje kao C2 server za ofanzivne operacije.

    Okvir uključuje module koji učitavaju dobro poznate alate kao što su BloodHound, secretsdump i LaZagne direktno u memoriju.

    Sigurnosni analitičari u Hunt.io su identifikovali da ovo izvršavanje u memoriji omogućava operaterima da djeluju u kontekstu potpisanog Python interpretatora, potencijalno zaobilazeći tradicionalne sigurnosne mjere krajnje tačke.

    Pyramid README screenshot (izvor – Hunt.io)

    Mogućnosti otkrivanja

    Identifikacija Pyramid servera uključuje analizu specifičnih mrežnih potpisa. Kada su u interakciji sa sumnjivim Pyramid serverom, zaglavlja odgovora pokazuju različite karakteristike:

    Server: BaseHTTP/0.6 Python/3.10.4
Date:
WWW-Authenticate: Basic realm="Demo Realm"
Content-Type: application/json

    Server također vraća tijelo JSON odgovora:-

    {
  "success": false,
  "error": "No auth header received"
}
    Pyramid C2 HTTP 401 odgovor (izvor – Hunt.io)

    Nedavna skeniranja su identifikovala nekoliko IP adresa povezanih sa Pyramid serverima, uključujući 104.238.61[.]144, 92.118.112[.]208 i 45.82.85[.]50.

    Ovi serveri su bili povezani sa domenima koji liče na DevaGroup, uslugu internet marketinga , iako još uvijek nisu pronađeni maliciozni uzorci.

    Tehnički detalji za detekciju: –

    • HTTP statusni kod: 401 Neovlašteno
    • Hash tijela odgovora (SHA-256): 54477efe7ddfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
    • Zaglavlje servera: BaseHTTP/0.* Python/3.*
    • Zaglavlja autentifikacije i sadržaja: WWW-Authenticate: Basic realm=”Demo Realm” i Content-Type: application/json

    Ovi parametri se mogu koristiti za izradu strukturiranih upita za identifikaciju infrastrukture povezane s piramidama, poboljšavajući odbranu sajber sigurnosti.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories

    Novosti

    Microsoft upozorava na zloupotrebu Node.js okruženja za isporuku malvera

    Novosti

    Kritična ranjivost otkrivena u Apache Roller blog serveru

    Novosti

    Poboljšana verzija ‘BPFDoor’ Linux bekdora viđena u divljini

    Novosti

    Ransomware grupa tvrdi da je hakovala regulatornu agenciju u Oregonu

    Novosti

    Pillar Security obezbijedio 9 miliona dolara za AI bezbjednosne okvire

    Novosti

    Mnoge mobilne aplikacije ne ispunjavaju osnovne bezbjednosne standarde — predstavljaju ozbiljan rizik za preduzeća

    © Copyright - Kiber.ba