Hakeri koriste Pyramid Pentesting alat za prikrivenu C2 komunikaciju

Đorđe

2 months ago

Hakeri koriste Pyramid Pentesting alat za prikrivenu C2 komunikaciju-Kiber.ba

Hakeri koriste open-source alat za pentestiranje Pyramid-a kako bi uspostavili prikrivenu komunikaciju zapovijedanja i kontrole (C2).

Pyramid, prvi put objavljen na GitHub-u 2023. godine, je okvir za post-eksploataciju zasnovan na Python-u dizajniran da izbjegne alate za otkrivanje krajnjih tačaka i odgovor (EDR).

Njegove lagane mogućnosti HTTP/S servera čine ga atraktivnim izborom za maliciozne hakere koji žele da minimizuju otkrivanje.

Pyramid je izgrađen na Python-ovom legitimnom prisustvu u mnogim okruženjima, koristeći HTTP/S server baziran na Python-u za isporuku datoteka i djeluje kao C2 server za ofanzivne operacije.

Okvir uključuje module koji učitavaju dobro poznate alate kao što su BloodHound, secretsdump i LaZagne direktno u memoriju.

Sigurnosni analitičari u Hunt.io su identifikovali da ovo izvršavanje u memoriji omogućava operaterima da djeluju u kontekstu potpisanog Python interpretatora, potencijalno zaobilazeći tradicionalne sigurnosne mjere krajnje tačke.

Pyramid README screenshot (izvor – Hunt.io)

Mogućnosti otkrivanja

Identifikacija Pyramid servera uključuje analizu specifičnih mrežnih potpisa. Kada su u interakciji sa sumnjivim Pyramid serverom, zaglavlja odgovora pokazuju različite karakteristike:

Server: BaseHTTP/0.6 Python/3.10.4
Date:
WWW-Authenticate: Basic realm="Demo Realm"
Content-Type: application/json

Server također vraća tijelo JSON odgovora:-

{
  "success": false,
  "error": "No auth header received"
}

Pyramid C2 HTTP 401 odgovor (izvor – Hunt.io)

Nedavna skeniranja su identifikovala nekoliko IP adresa povezanih sa Pyramid serverima, uključujući 104.238.61[.]144, 92.118.112[.]208 i 45.82.85[.]50.

Ovi serveri su bili povezani sa domenima koji liče na DevaGroup, uslugu internet marketinga , iako još uvijek nisu pronađeni maliciozni uzorci.

Tehnički detalji za detekciju: –

HTTP statusni kod: 401 Neovlašteno
Hash tijela odgovora (SHA-256): 54477efe7ddfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
Zaglavlje servera: BaseHTTP/0.* Python/3.*
Zaglavlja autentifikacije i sadržaja: WWW-Authenticate: Basic realm=”Demo Realm” i Content-Type: application/json

Ovi parametri se mogu koristiti za izradu strukturiranih upita za identifikaciju infrastrukture povezane s piramidama, poboljšavajući odbranu sajber sigurnosti.

Izvor: CyberSecurityNews