Istraživači kibernetičke sigurnosti Jedinice 42 identifikovali su novu alatku crvenog tima nakon eksploatacije, Splinter, koristeći Advanced WildFire alate za skeniranje memorije.
Ovaj alat, razvijen u Rustu, programskom jeziku poznatom po svojim sigurnosnim karakteristikama memorije, pronađen je na nekoliko korisničkih sistema, naglašavajući potrebu za kontinuiranim praćenjem i otkrivanjem takvih alata.
Splinter je dizajniran da simulira dugoročni pristup ciljnom sistemu, proširujući početni pristup koji se dobija na različite načine.
Koristi strukturu konfiguracionih podataka u JSON formatu, poznatu kao ImplantConfig, koja sadrži bitne informacije za svoje operacije, uključujući ID implantata, ID ciljane krajnje tačke, adresu servera za komandu i kontrolu (C2) i kredencijale za prijavu.
Alat radi na modelu zasnovanom na zadacima, uobičajenom među okvirima nakon eksploatacije. Prima zadatke od C2 servera definisanog od strane napadača.
Ovi zadaci uključuju izvršavanje Windows komandi, otpremanje i preuzimanje datoteka, prikupljanje informacija s računa usluge u oblaku i samobrisanje.
Splinter također koristi klasične metode ubrizgavanja procesa za pokretanje dodatnih modula, ubrizgavajući PE loader shellcode i korisne podatke u udaljene procese.
Otkriće Splinter-a naglašava rastuću raznolikost dostupnih alata za crveni tim, koje kriminalci mogu zloupotrijebiti za narušavanje organizacija. Ovo naglašava važnost stalnog ažuriranja mogućnosti prevencije i otkrivanja.
Splinterova upotreba Rusta, sa njegovim gusto slojevitim runtime kodom, čini analizu izazovnom za obrnuti inženjering zlonamjernog softvera. Velika veličina alata, oko 7 MB, prvenstveno je posljedica uključivanja velikih vanjskih biblioteka koje su statički povezane s datotekom.
Ove biblioteke, poznate kao sanduci u Rust terminologiji, uključuju različite alate za umrežavanje i šifriranje .
Alat komunicira sa C2 serverom koristeći HTTPS, sinhronizuje zadatke, održava brzu vezu i preuzima ili učitava datoteke putem određenih URL putanja.
Izvještaj Palo Alto Networks navodi da ova šifrovana komunikacija povećava složenost otkrivanja i blokiranja Splinterovih aktivnosti.
Iako Splinter nije tako napredan kao drugi poznati alati za post-eksploataciju poput Cobalt Strike-a , njegovo otkriće naglašava potrebu za budnošću u sajber sigurnosti.
Organizacije moraju ostati proaktivne u ažuriranju svojih sigurnosnih mjera kako bi se suprotstavile rastućem okruženju prijetnji. Identifikacija Splinter-a služi kao podsjetnik na važnost kontinuiranog praćenja i otkrivanja potencijalnih sigurnosnih prijetnji.
Izvor: CyberSecurityNews
