İlk Uzlaşmadan Sonra C&C Sunucularına Bağlanmak İçin Red Teaming Oluşturma Araçlarını Kullanan Bilgisayar Korsanları

Cyble Research and Intelligence Labs (CRIL), saldırganların siber saldırılar için Red Teaming Tools kullandığını tespit etti. Rutin tehdit avı sürecinde araştırmacılar, PowerShell Empire komuta ve kontrol (C&C) altyapısının örneklerini fark ettiler.

PowerShell Empire, kimlik avı e-postaları, genel kullanıma açık BT sistemlerinden yararlanma ve sulama deliği saldırıları gibi vektörler aracılığıyla ilk uzlaşmadan sonra C&C sunucularına bağlanan sahne makineleri oluşturmak için kullanılan bir istismar sonrası kırmızı ekip oluşturma aracıdır. Uzmanlar, PowerShell Empire ile ilgili dosyaları ararken birden fazla enfeksiyon buldu.

PowerShell Empire Framework

SANS Enstitüsü'ne göre, "Empire'ın C&C trafiği zaman uyumsuz, şifreli ve normal ağ etkinliğiyle uyum sağlayacak şekilde tasarlandı".

Temel olarak, çerçeve bir istemci ve sunucu mimarisine dayanmaktadır. Uzmanlar, yükü ve C&C'yi geliştirmek için PowerShell Empire sunucusunun ve istemcilerinin çalışır durumda olması gerektiğini söylüyor. PowerShell İstemcisi, saldırıyı gerçekleştirmek üzere bir dinleyici ve sahneleyici oluşturmak için kullanılır.

Bu durumda, dinleyici C&C'dir ve sahneleyici, güvenliği ihlal edilmiş sistemde yürütülecek yüktür. İlk uzlaşmanın ardından, kurban sistemi C&C ile iletişim kuracak ve kendisini bir ajan olarak kaydedecektir. Bundan sonra, dinleyiciyi kullanarak, saldırgan güvenliği ihlal edilmiş sistemi kolayca yönetebilir.

Burada, dinleyici kurban makinesinden bağlantıyı dinler ve karşılığında sahneleyici ile bağlantıyı kurar. Sahneleyiciler yük ile ilgilidir ve ilk uzlaşmadan sonra, aşamacılar kurban sisteminde düşürülür ve yürütülür.

Araştırmacılar, Empire'ın birden fazla tehlikeye atılmış sistemi tek bir noktada uzaktan yönetmek için bir C&C çerçevesi verdiğine dikkat çekiyor.

"Ağ trafiği şifrelenir ve normal ağ etkinliğiyle karıştırılacak şekilde tasarlanmıştır. Aracı, diğer kötü amaçlı faaliyetleri gerçekleştirmek için C&C'den komutlar almak üzere sürekli olarak GET isteği gönderir", diye açıklıyor Cyble Research and Intelligence Labs.

Bu nedenle, Red teaming oluşturma araçları kritik öneme sahiptir; bilgisayar korsanları, hedeflerine karşı son derece gizli ve tehlikeli saldırılar gerçekleştirmek için bu araçları kullanabilirler.

Öneriler - Nasıl Korunabilirim?

• Yazılımı yalnızca Play Store veya iOS App Store gibi resmi uygulama mağazalarından indirin ve yükleyin.
• PC'ler, dizüstü bilgisayarlar ve mobil cihazlar gibi bağlı cihazlarınızda tanınmış bir virüsten koruma ve internet güvenliği yazılım paketi kullanın.
• Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılın.
• Mümkün olduğunda mobil cihazın kilidini açmak için parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerini etkinleştirin.
• SMS veya telefonunuza gönderilen e-postalarla alınan bağlantıları açmaya karşı dikkatli olun.
• Android cihazlarda Google Play Protect'in etkinleştirildiğinden emin olun.
• Herhangi bir izni etkinleştirirken dikkatli olun.
• Cihazlarınızı, işletim sistemlerinizi ve uygulamalarınızı güncel tutun.

Bu nedenle, mobil cihazlara yüklenen uygulamaların Mobil / Wi-Fi veri kullanımını düzenli olarak kontrol etmek, Antivirüsler ve Android işletim sistemi tarafından sağlanan uyarıların farkında olmak önemlidir.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.