20 lipca 2023

Polowanie na botnety za pomocą rozwiązań NDR

Historia botnetów sięga początków internetu. Najwcześniejsze były stosunkowo proste i użytkowane głównie do celów akademickich lub badawczych. Z czasem stały się powrzechniejsze i były wykorzystywane do inicjowania kampanii spamowych czy kradzieży haseł. Obecnie są często obsługiwane przez zorganizowane grupy przestępcze i hakerów sponsorowanych przez państwo, co czyni je jeszcze bardziej niebezpiecznymi. Analitycy z Gatewatcher postanowili zbadać zaawansowane botnety i udało im się zniszczyć ponad 20 unikalnych serwerów C&C/Botnet i ujawnić ich brudne sekrety. Poznaj kilka z nich i dowiedz się, dlaczego narzędzie klasy NDR jest pomocne w ich wykryciu.

Co to jest botnet?

Botnet to sieć składająca się z dużej ilości hostów, które zostały przejęte przez złośliwe oprogramowanie, aby służyć hakerowi, który je stworzył. Wykorzystywane do tego są zaawansowane techniki infekowania komputerów, takie jak socjotechnika, zestawy exploitów oraz programy typu drive-by download. Równocześnie stosowane jest szyfrowanie i inne środki bezpieczeństwa, aby uniknąć wykrycia i utrudnić ich likwidację. Dzięki kontroli nad setkami albo tysiącami maszyn czasami nazywane są „armią botów” i mogą być wykorzystywane przez cyberprzestępców do różnych działań, w tym do wysyłania spamu i przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS).

Co to jest C&C?

Command and Control (C&C) to komputer kontrolowany przez atakującego lub cyberprzestępcę, który służy do wysyłania poleceń do systemów zainfekowanych przez złośliwe oprogramowanie i odbierania skradzionych danych z sieci docelowej. Wiele kampanii zostało znalezionych przy użyciu usług opartych na chmurze, takich jak poczta internetowa i usługi udostępniania plików, jako serwerów kontroli w celu wtopienia się w normalny ruch i uniknięcia wykrycia.

C&C Cryptolocker

CryptoLocker to szkodliwe oprogramowanie, które jest uruchamiane przez trojana albo robaka. Atakuje komputery z systemem Microsoft Windows i został po raz pierwszy wykryty we wrześniu 2013 roku. Rozprzestrzeniał się za pośrednictwem zainfekowanych załączników wiadomości e-mail i istniejącego botnetu. Po aktywacji złośliwe oprogramowanie szyfrowało określone typy plików i żądało uiszczenia opłaty w określonym terminie za dostarczenie klucza służącego do ich odszyfrowania.

C&C MitB Builder

Te “wstrzykiwacze” są podstawową bronią wykorzystywaną przez cyberprzestępców w aplikacjach bankowości elektronicznej, w których zaimplementowano "tokeny" uwierzytelniania dwuskładnikowego. Za pomocą Ma-in-the-Browser “MitB Builder”, czyli konia trojańskiego proxy, infekuje przeglądarkę internetową, wykorzystując luki w zabezpieczeniach przeglądarki do modyfikowania stron internetowych, modyfikując zawartość transakcji lub wstawia dodatkowe transakcje. Wszystko to w sposób niewidoczny zarówno dla użytkownika, jak i aplikacji internetowej hosta.

Botnet NAS

Atakujący wysyłają żądanie GET z exploitem Shellshock do wszystkich serwerów WWW. Pomyślnie zhakowane urządzenia Network Attached Storage (NAS), czyli serwer, który pozwala udostępniać w sieci zawartość pamięci masowej jest zmuszany do pobrania ładunku z Internetu. Zawiera on skrypt SH, czyli polecenia ze sprytną logiką projektową stworzoną specjalnie dla urządzeń QNAP NAS. Ładunek pobiera pakiet instalacyjny ELF Linux z funkcją BOT dla DDOS. Od tego momentu atakujący ma dostęp do urządzenia NAS.

Kins Origin

Jest to szkodliwe oprogramowanie działające jak prawdziwa aplikacja bankowości elektronicznej. Analiza złośliwego oprogramowania przeprowadzona na komputerach ofiar wykazała, że złośliwy software z rodziny KINS jest ukierunkowany na określonych użytkowników włoskiego banku dzięki ATSEngine, z możliwością dynamicznego wstrzykiwania kodu do przeglądarki ofiary i zarządzania "zrzutami" w całkowicie automatyczny sposób.

Czy uwierzytelnianie dwuskładnikowe wystarcza do ochrony pieniędzy?

Podczas analizy złośliwego oprogramowania wymierzonego we włoskie instytucje finansowe eksperci z Gatewatcher znaleźli atrakcyjny element, który może ominąć 2FA (uwierzytelnianie dwuskładnikowe) za pomocą złośliwej aplikacji zainstalowanej na telefonie. Oprogramowanie tego typu może skłonić użytkowników do pobrania fałszywej aplikacji na telefon z oficjalnego sklepu Google Play przy użyciu ataku typu Man in browser (MITB). Polega on na tym, że atakujący może wejść do kanału komunikacyjnego między dwiema ufającymi stronami. Atakuje przeglądarkę internetową używaną przez jedną ze stron w tym celu podsłuchiwania, kradzieży danych i/lub manipulowania sesją za pośrednictwem serwera C&C.

Jak się przed tym uchronić?

Wykrywanie i blokowanie ruchu botnetów jest ogromnym wyzwaniem w świecie cyberbezpieczeństwa ze względu na ewoluujące techniki, które atakujący wdrażają, aby uniknąć wykrycia. Niezaszyfrowane botnety mogą być wykrywane przez rozwiązania bezpieczeństwa sieciowego, takie jak systemy wykrywania włamań (IDS) i zapory sieciowe nowej generacji (NGFW). Te bardziej wyrafinowane, wykorzystujące legalny zaszyfrowany ruch sieciowy do swoich C&C, takich jak Twitter czy DropBox są trudne do wykrycia. Technika ta sprawia, że tradycyjne rozwiązania w zakresie bezpieczeństwa sieci są ślepe, jeśli nie mogą przetwarzać i wykrywać zaszyfrowanych danych za pomocą sztucznej inteligencji i uczenia maszynowego.

Przykładem takiego rozwiązania jest AIONIQ od Gatewatcher. Narzędzie może przetwarzać i wykrywać nieznany ruch C&C "DGA" w zaszyfrowanym ruchu przy użyciu sztucznej inteligencji i nadzorowanego uczenia maszynowego. AionIQ to najnowsza platforma do wykrywania i reagowania w sieci, która może pewnie identyfikować złośliwe działania i podejrzane zachowania poprzez mapowanie wszystkich zasobów w sieci. Łącząc te możliwości z wyjątkową wydajnością w analizowaniu nawet zaszyfrowanych przepływów sieciowych, AionIQ zapewnia 360-stopniowy widok poziomu ryzyka cybernetycznego związanego z każdym połączeniem między zasobami i użytkownikami, zapewniając niezrównany poziom wykrywania i widoczności.

Chcesz wiedzieć więcej?

Zobacz webinar "Jak przebiega atak hakerski i jak go wykryć przy użyciu rozwiązania NDR?”.

Autorem tekstu jest Joanna Świerczyńska

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19