Хакеры используют законные сетевые активы и открытый исходный код, чтобы оставаться незамеченными при атаках с целью кражи данных, используя набор специальных вредоносных программ, направленных на уклонение от обнаружения.
Группа, отслеживаемая Elastic Security Labs как REF2924, использует новое вредоносное ПО для кражи данных - HTTP-прослушиватель, написанный на C# и названный исследователями Naplistener - в атаках на жертв, работающих в Южной и Юго-Восточной Азии.
Согласно сообщению в блоге старшего инженера-исследователя безопасности Elastic Ремко Спроотена, в мире сетевые технологии обнаружения и предотвращения являются фактическим методом защиты многих сред. Но Naplistener - наряду с другими новыми типами вредоносных программ - похоже, «разработан для того, чтобы обходить сетевые формы обнаружения» - сообщает Джейк Кинг, директор по разработке Elastic Security.
Так что не стоит останавливаться на стратегии «глубокой обороны».
Исследователи обнаружили Naplistener в виде нового исполняемого файла, который был создан и установлен в сети жертвы в качестве службы Windows 20 января. Атакующие создали исполняемый файл Wmdtc.exe, используя соглашение об именовании, похожее на легальный двоичный файл, используемый службой Microsoft Distributed Transaction Coordinator.
Фокус на уклонении от обнаружения.
По словам Кинга, Naplistener является последним из серии новых типов вредоносных программ, которые, по наблюдениям исследователей Elastic, использует REF2924 в своих атаках и которые направлены на уклонение от сетевого обнаружения. Все эти новые семейства объединяет не только то, что они основаны на технологиях с открытым исходным кодом, но и то, что они используют знакомые и легитимные сетевые ресурсы для маскировки своей деятельности.
«Последовательной темой всех этих возможностей является намерение скрыться в легальных и ожидаемых формах сетевого взаимодействия и устанавливаются так, чтобы походить на базовые службы, которыми они злоупотребляют» - отмечает Кинг.
Хотя другие хакерские группы также применяют эти подходы в разрабатываемых вредоносных программах, они делают это «реже и менее последовательно», чем REF2924, отмечает он, демонстрируя, что REF2924 делает большую ставку на то, чтобы избежать обнаружения для достижения успеха.
«Уникальное наблюдение этой группировки заключается в глубокой сосредоточенности на тактике уклонения» - говорит Кинг. «В то время как многие угрозы маскируются подобными способами, эта группа доводит методологию до крайности и последовательно использует эти методы».
Взгляд на кастомные вредоносы.
В дополнение к Naplistener, который имитирует поведение веб-серверов в сети, чтобы скрыть себя, REF2924 также использует кастомные вредоносные программы, которые Elastic Security отслеживает как SiestaGraph и Somnirecord, среди прочих. Первая программа отличается тем, что использует облачные ресурсы Microsoft для управления и контроля, чтобы избежать обнаружения, а вторая маскируется под трафик протокола DNS.
«Организациям в наблюдаемых регионах воздействия, которые полагаются исключительно на сетевые методы обнаружения, будет сложно выявить эти семейства вредоносных программ» - добавляет Кинг.
В частности, Naplistener создает слушатель HTTP-запросов, который может обрабатывать входящие запросы из Интернета, считывать любые переданные данные, декодировать их из формата Base64 и выполнять в памяти, сообщают исследователи.
Как уже упоминалось, он обходит попытки жертв обнаружить его в сети, ведя себя подобно веб-серверам, работая между легитимными пользователями и напоминая обычный веб-трафик. По словам исследователей, все это происходит без генерации событий журнала веб-сервера.
Naplistener также использует код, присутствующий в публичных репозиториях для различных целей, и похоже, что REF2924 может разрабатывать дополнительные прототипы и код производственного качества из открытых источников, добавили они.
Выход за рамки обнаружения на уровне сети.
По словам Кинга, поскольку REF2024 уделяет особое внимание отказу от сетевых методов обнаружения, предприятия, находящиеся под ее прицелом, могут избежать компрометации со стороны этой группы, в первую очередь отдавая предпочтение технологиям обнаружения на уровне конечных точек, более известным как обнаружение и реагирование на конечные точки (EDR).
Действительно, хотя EDR не является новой стратегией безопасности для многих организаций в США, в регионе мира, где действует группировка, она все еще находится на ранних стадиях внедрения, говорит он. Это подвергает эти организации риску со стороны вредоносных программ, которые развертывает группа.
«Организации, которые полагаются на сетевые технологии для обнаружения угроз, столкнутся с серьезными проблемами, которые усугубляются сложностью их сетей» - говорит Кинг. «Короче говоря: чем больше соединений и типов соединений, тем сложнее организациям эффективно их отслеживать; эта проблема относительно быстро решается с помощью другой формы видимости на основе хоста».
Еще одна технология, которую организации могут использовать для борьбы с вредоносным ПО, которое может ускользнуть от сетевого обнаружения, - это фильтрация на выходе, или ограничение типов исходящих сетевых соединений, которые они разрешают, говорит Кинг.
Однако, добавляет он, «этот подход не является особенно масштабируемым, когда организация достигает значительных размеров, из-за большого количества точек выхода, которыми они управляют, и разнообразия законных методов коммуникации».
Источник: https://www.darkreading.com
