Stručnjaci za sajber sigurnost stalno traže efikasnije alate za testiranje penetracije kako bi ostali ispred prijetnji i pravilno procijenili organizacijsku odbranu.
Nedavna inovacija u ovoj oblasti dolazi od istraživača sigurnosti koji su razvili specijalizovani agent za Mythic framework dizajniran da prevaziđe ograničenja u popularnim platformama za testiranje penetracije .
Ovaj razvoj se bavi ključnim izazovima s kojima se suočavaju etički hakeri čiji alati često bivaju otkriveni od strane modernih sigurnosnih rješenja, što smanjuje njihovu efikasnost tokom procjena.
Potreba za sofisticiranijim, teže detektabilnim alatima za testiranje prodora porasla je kako su se obrambene tehnologije poboljšale u identifikovanju poznatih framework-ova.
Popularni alati poput Cobalt Strike-a , sa svojim specifičnim opcode sekvencama, i Metasploitovog Meterpretera, koji ima preko 230 potpisa u Microsoftovoj antivirusnoj bazi podataka, postali su sve teži za korišćenje bez aktiviranja sigurnosnih upozorenja.
Alternative otvorenog koda poput Sliver i Havoc framework-ova obećavaju, ali pate od značajnih nedostataka, uključujući prevelike korisne terete, probleme sa stabilnošću i ograničene mogućnosti prilagođavanja.
Istraživači Securelista su identifikovali ova ograničenja kroz opsežnu analizu i predložili modularni pristup testiranju penetracije koristeći Mythic framework.
Njihovo istraživanje je pokazalo kako postojeći alati brzo zastarevaju jer dobavljači sigurnosnih alata daju prioritet njihovoj detekciji, prisiljavajući penetratore da provode sve više vremena pripremajući se za angažmane umjesto da obavljaju sam rad na procjeni.
Faze korisnog tereta
Predloženo rješenje uključuje trostepenu strukturu korisnog tereta koja dijeli funkcionalnost između početnog izvršenja (Faza 0), izviđanja i perzistencije (Faza 1) i naprednih operacija poput eskalacije privilegija i lateralnog kretanja (Faza 2).
Ovaj modularni dizajn omogućava nezavisno ažuriranje ili modifikaciju komponenti, povećavajući otpornost okvira na detekciju.
Istraživači su se posebno fokusirali na optimizaciju Faze 1, koja uspostavlja kritično uporište i komunikacijski put za naknadne operacije.
Za implementaciju Faze 1, istraživači su odabrali Beacon Object Files (BOF) dizajnirane za izvršavanje unutar Mythic okvira.
.webp)
Ovaj pristup predstavlja evoluciju izvan tradicionalnih tehnika poput reflektivnog ubrizgavanja DLL-a ili izvršavanja .NET asemblera, koje su sigurnosna rješenja relativno lako otkrila.
BOF pristup omogućava dinamičku funkcionalnost putem izvršavanja objektnih datoteka u memoriji, bez kreiranja novih procesa ili ubrizgavanja aktivnosti koda koje često pokreću sigurnosna upozorenja.
Tehnička implementacija se fokusira na učitavanje Common Object File Format (COFF) datoteka direktno u memoriju, izvršavajući ih bez pisanja na disk.
Proces uključuje sofisticirano premještanje simbola gdje agent čita .textdio objektne datoteke i zamjenjuje nule relativnim adresama vanjskih funkcija i statičkim podacima: –
COFF object file
in memory
.text
0x07: 4C 8D 05 00 00 00 00
0x17: FF 15
Relocations
OxOA
Symbol 0x08
0x19
Symbol Ox0C
lea r8, [rip+0x0]
call QWORD PTR [rip+ ]Iako priznaju ograničenja – poput blokirajuće prirode izvršavanja objektnih datoteka koja sprječava više istovremenih zadataka – istraživači naglašavaju da njihov pristup daje znatno manji korisni teret (približno 50 KB nešifrovano kada se koristi C) u poređenju sa alternativama poput Sliverovog korisnog tereta od 8-9 MB.
.webp)
Ovaj manji otisak, u kombinaciji s mogućnošću korištenja različitih komunikacijskih protokola, uključujući tajne kanale preko platformi poput Slack-a ili Telegrama, pruža penetratorima povećanu fleksibilnost i poboljšane mogućnosti izbjegavanja.
Ovo istraživanje predstavlja vrijedan doprinos području etičkog hakovanja, pokazujući kako sigurnosni stručnjaci mogu uravnotežiti korištenje postojećih projekata otvorenog koda s prilagođenim razvojem kako bi stvorili učinkovitije i otpornije alate za procjenu .
Izvor: CyberSecurityNews