5 основных инструментов и методов, используемых киберпреступниками!
Недавно в отчете Австралийского центра кибербезопасности был опубликован отчет о необходимых инструментах и методах, которые киберпреступники используют для осуществления атак. Отчет под названием «Совместный отчет об общедоступных инструментах взлома» . В отчете выделены пять основных инструментов и методов, которые использует киберпреступник.
Давайте узнаем больше об этих инструментах.
Инструменты удаленного доступа:
Он предоставляет удаленный административный контроль после установки на целевой машине. Этот элемент управления позволяет злоумышленнику загружать, загружать файлы и выполнять команды, регистрировать нажатия клавиш и даже записывать экран пользователя.
Инструменты удаленного доступа — это метод, с помощью которого злоумышленники отправляют адресаты электронной почты, такие как вложения, такие как счета-фактуры, запросы предложений, уведомления об оплате и уведомления о доставке. Когда цели открывают эту информацию из любой интеллектуальной собственности для банковской информации, ее легко извлечь.
RAT способен использовать уязвимые машины в качестве ботнетов для выполнения DDoS-атак. Пример RAT включает в себя поддельные электронные письма. Эти электронные письма выглядят так, как будто они отправляют злонамеренный RAT целевой аудитории, чтобы неправильно использовать их ценные данные.
Организациям необходимо убедиться, что в их сети установлена обновленная версия антивируса, чтобы уменьшить влияние инструментов RAT. Кроме того, им также необходимо внедрить систему устройств, которая может создать ориентир нормального поведения. Поведение должно постоянно отслеживаться, а также выявлять подозрительные действия.
Веб-оболочки — Китай Чоппер:
Это вредоносные скрипты. Они загружают на целевой хост после первоначального компрометации и предоставляют злоумышленнику удаленный доступ в сеть. После получения доступа к системе веб-оболочки могут сделать возможным боковое перемещение внутри системы.
Например, наиболее часто используемым веб-оболочкой является China Chopper. Хорошо документированная и свободно доступная веб-оболочка, которая часто используется с 2012 года.
Веб-оболочка China Chopper широко используется злоумышленниками для удаленного доступа к целевым веб-серверам. На этих серверах он обеспечивает управление файлами и каталогами, а также получает доступ к виртуальному терминалу на подключенных устройствах. China Chopper имеет небольшие размеры, а его модифицируемая полезная нагрузка затрудняет распознавание и устранение последствий для сетевых защитников.
Клиенты могут использовать команды терминала и быстро управлять файлами на сервере жертвы. Возможности веб-оболочки включают как загрузку и выгрузку файлов, так и выполнение произвольных команд. Более того, он способен использовать инструменты поиска файлов операционной системы для загрузки файлов жертве, а также модификации файловой системы.
Наличие последних обновлений вместе с исправлениями безопасности очень важно. Также защитите примененную конфигурацию. Для обычных веб-уязвимостей пользовательские приложения должны регулярно проверяться.
По умолчанию China Chopper генерирует HTTP POST для каждого взаимодействия, которое выполняет злоумышленник. Защитники сети могут использовать эти качества и качества для идентификации оболочек China Chopper. Позже они декодируют команды, чтобы понять предпринятые действия.
Кроме того, принятие Transport Layer Security веб-серверами показывает, что серверный трафик становится зашифрованным. Это делает обнаружение активности China Chopper, которая использует сетевые инструменты, очень сложным.
Mimikatz — учетная запись Stealer:
Это инструмент, используемый для получения учетных данных из памяти. Он был создан в 2007 году для использования против систем Windows. Его основная цель — позволить злоумышленнику получить учетные данные других пользователей, которые часто подключаются к целевой машине. Все эти учетные данные используются повторно для предоставления доступа к другому устройству в сети.
Mimikatz выступает в качестве стандартного инструмента, используемого различными злоумышленниками для получения учетных данных из сетей. Исходные коды Mimikatz общедоступны, что позволяет кибератакам компилировать свои версии. В рамках этой новой установки можно приобрести и разработать новые плагины Mimikatz и дополнительные инструменты.
Лучше всего для его способности восстановить учетные данные открытого текста и беспорядки из памяти. Этот инструмент широко использовался многими злоумышленниками для совершения нескольких инцидентов. В 2011 году неизвестный хакер использовал его для получения административных полномочий от голландского центра сертификации, DigiNotar.
Кроме того, он использует соединение вместе с другими инструментами для взлома в 2017 году вымогателей NotPetaya и BadRabbit. Эти атаки направлены на извлечение административных учетных данных, которые присутствуют на тысячах компьютеров.
Чтобы предотвратить такой тип атаки, вам необходимо обновить Windows, так как это уменьшит объем информации, доступной злоумышленнику из инструмента Mimikatz. Microsoft стремится улучшить защиту, предлагаемую в каждой версии Windows.
После определения Mimikatz, экспертные организации советуют провести серьезное расследование, чтобы проверить, доступен ли какой-либо злоумышленник в их сети или нет, также сетевой администратор должен отслеживать и реагировать на необычные и незаконные создания учетных записей. Решения для мониторинга сети и журналов могут быстро помочь идентифицировать такой тип атаки.
Power Shell Empire:
Инструмент Power Shell Empire позволяет преступнику использовать информацию различными способами после получения первоначального доступа к сайту жертвы. Он создает вредоносные документы, извлекает информацию и перемещается по сети. Сочетание уникальных рамок империи с широким кругом целей в сообществе пользователей Empire делает его незаменимым инструментом для тех, кто совершает преступление.
Среди всех злоумышленников стало довольно популярным совершать организованные преступления. Империя Power Shell позволяет злоумышленнику выполнять широкий спектр действий на целевых устройствах. Кроме того, он позволяет сценариям PowerShell работать без «powershell.exe». Коммуникация кодируется, и ее архитектура также довольно гибкая. Он часто использует модули для выполнения более конкретных и вредоносных действий. Таким образом, злоумышленники получают настраиваемый диапазон параметров для преследования своих целей в системах цели. Они также включают оценку привилегий, получение учетных данных, запись хоста и возможность творческого перемещения по сети.
Энергетическая компания в Великобритании пострадала от неизвестного злоумышленника в феврале 2018 года. Злоумышленник получает данные, определенные по активности маяков Empire, используя настройки профиля Empire по умолчанию. Предполагается, что недостоверные учетные данные в одной из учетных записей администратора цели предоставили злоумышленнику начальный доступ к сети.
Организации должны регистрировать PowerShell, включающий ведение журнала блоков сценариев и стенограммы PowerShell, чтобы распознать возможные вредоносные сценарии.
HTran- командно-контрольные обфускаторы:
Он доступен с 2009 года. Как правило, он предназначен для того, чтобы скрыть и усложнить связь между злоумышленником и сетью жертвы. Злоумышленники используют эту технику для повторной отправки сетевого трафика на разные узлы и порты. Он может принудительно разрешить злоумышленникам переадресовывать свои пакеты через другие целевые сети.
HTran может работать в различных режимах. Он включает в себя серверы, используемые для прослушивания локального порта и повторной отправки трафика; Прокси используется для прослушивания на локальном порту и повторной отправки данных. Наконец, клиент использовал для подключения IP-адрес и повторной отправки данных.
Чтобы избежать этого, такие методы, как сегментация сети и сетевые брандмауэры, могут помочь предотвратить и ограничить эффективность HTran.
Последние мысли:
Кибер-атакующий имеет различные цели нацеливания на устройство или систему жертвы. Но какими бы ни были цель и назначение, из-за уязвимостей в безопасности эти преступники получают первоначальный доступ к системе.
Для организации важно улучшить основу безопасности своей сети. Кроме того, вы также должны принять рекомендации, упомянутые выше, чтобы избежать и снизить эффективность широкого спектра кибератак.