უსაფრთხოების გაფრთხილება: თავდამსხმელები იყენებენ ამ ხუთ ჰაკერულ ხელსაწყოს თქვენს სამიზნედ

  • Sep 05, 2023

უფასო - მაგრამ მძლავრი - ინსტრუმენტები გამოიყენება ყველასთვის, დაწყებული კიბერ კრიმინალებიდან დაწყებული, ეროვნული სახელმწიფო ოპერატორებით დამთავრებული, ნათქვამია ხუთი სამთავრობო უსაფრთხოების სააგენტოს მოხსენებაში.

თავდამსხმელები, დაწყებული სახელმწიფოს მიერ მხარდაჭერილი ჯაშუშური ჯგუფებიდან დამთავრებული კიბერდანაშაულებრივი ოპერაციებით, სულ უფრო ხშირად მიმართავენ ღიად. ხელმისაწვდომი ჰაკერული ინსტრუმენტები კამპანიების ჩატარებაში, ავსტრალიის, კანადის, ახალი ზელანდიის, დიდი ბრიტანეთისა და აშშ-ის კიბერუსაფრთხოების ორგანოებს გააფრთხილეს.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

„ხუთი თვალის“ დაზვერვის გაზიარების მოწყობაში ჩართული ქვეყნების კვლევა იძლევა სურათს. ზოგიერთი საფრთხე, რომელიც წარმოიქმნება კიბერ აქტორების მიერ მთელ მსოფლიოში, ზოგიერთი საყოველთაოდ ხელმისაწვდომი ხელსაწყოების დეტალური აღწერა, რომლებიც გამოიყენება თავდასხმები.

ისინი ყველა თავისუფლად ხელმისაწვდომია -- ხშირად ღია ქსელში -- და მოიცავს დისტანციური წვდომის ტროიანებს, ვებ ჭურვებს და ბუნდოვან ინსტრუმენტებს. ზოგიერთი ან ყველა მათგანის კომბინაცია იყო გამოიყენება თავდასხმის კამპანიებში ზოგიერთი ყველაზე ნაყოფიერი თავდამსხმელის მიერ გარშემო.

"ქსელების ექსპლუატაციის ინსტრუმენტები და ტექნიკა და მათ მიერ შენახული მონაცემები არავითარ შემთხვევაში არ არის დაცული ნაციონალური სახელმწიფოების ან კრიმინალების ბნელ ქსელში", - ნათქვამია. ანგარიში.

„ჩვენი ყველა ქვეყნიდან მიღებული გამოცდილება ცხადყოფს, რომ სანამ კიბერ აქტორები აგრძელებენ თავიანთი შესაძლებლობების განვითარებას, ისინი მაინც იყენებენ დამკვიდრებულ ინსტრუმენტებსა და ტექნიკას. ყველაზე დახვეწილი ჯგუფებიც კი იყენებენ საერთო, საჯაროდ ხელმისაწვდომ ინსტრუმენტებს თავიანთი მიზნების მისაღწევად“, - დასძენს მოხსენება.

იხილეთ: უფასო, მარტივი გამოსაყენებელი და ყველასთვის ხელმისაწვდომი: მძლავრი მავნე პროგრამა, რომელიც აშკარად იმალება ღია ქსელში

დიდი ბრიტანეთის ეროვნული კიბერუსაფრთხოების სააგენტო აღნიშნავს, რომ ინსტრუმენტების სია შორს არის ამომწურავი, მაგრამ ის შექმნილია იმისთვის, რომ დაეხმაროს ქსელის დამცველებს დაიცვან ზოგიერთი ყველაზე ხშირად გამოყენებული უფასო ჰაკერებისგან ხელსაწყოები.

დისტანციური წვდომის ტროასები

მოხსენებაში აღწერილი საფრთხეებიდან ყველაზე პოტენციურად საზიანოა დისტანციური წვდომის ტროიანები - მავნე პროგრამა, რომელიც ფარულად არის დაინსტალირებული. ინფიცირებულ სისტემაზე, რომელიც უზრუნველყოფს უკანა კარს, რათა დააკვირდეს ყველა აქტივობას და საშუალებას აძლევს თავდამსხმელს შეასრულოს ბრძანებები, რომლებიც მიგვიყვანს მონაცემთა წარმოქმნამდე მოპარული.

მოხსენებაში მოყვანილი კონკრეტული მაგალითია JBiFrost, ტროას, რომელსაც ჩვეულებრივ იყენებენ დაბალი კვალიფიკაციის მქონე კიბერ კრიმინალები, მაგრამ სახელმწიფო აქტორების მიერ ექსპლუატაციის შესაძლებლობით. რაც JBiFrost-ს ასე ძლიერს ხდის არის ის, რომ ის არის მრავალპლატფორმული, Windows, Linux, MAC OS X და Android-ზე მუშაობის უნარით.

ხშირად მიწოდება ფიშინგის ელექტრონული ფოსტით, ის საშუალებას აძლევს თავდამსხმელებს გადაადგილდნენ ქსელებში და დააინსტალირონ დამატებითი პროგრამული უზრუნველყოფა. ეს კონკრეტული RAT ხელმისაწვდომია საჯაროდ და კიბერუსაფრთხოების სააგენტოებმა განაცხადეს, რომ ისინი იყენებდნენ მიზანმიმართულ თავდასხმებს კრიტიკული ეროვნული ინფრასტრუქტურის მფლობელებზე და მათზე. მიწოდების ჯაჭვის ოპერატორები.

ვებ ჭურვები

ვებ ჭურვები არის მავნე სკრიპტები, რომლებსაც თავდამსხმელები ატვირთავენ სამიზნეებზე თავდაპირველი კომპრომისის შემდეგ, რათა მიიღონ დისტანციური ადმინისტრაციული შესაძლებლობები. თავდასხმის მიღმა მყოფებს უზრუნველვყოფთ პოტენციალს, რომ რეალურად მოხვდნენ სამიზნე სისტემაში -- ასევე გამოიყენონ სხვა უბნებზე გადასასვლელად. ქსელი.

თავისუფლად ხელმისაწვდომი Web Shells-ის ერთ-ერთი მაგალითია China Chopper, რომელსაც ფართოდ იყენებდნენ თავდამსხმელები დისტანციურად წვდომისათვის კომპრომეტირებულ ვებ სერვერებზე. სისტემაზე დაინსტალირების შემდეგ, China Chopper ვებ shell სერვერზე წვდომა შეიძლება ნებისმიერ დროს თავდამსხმელს -- სხვა საკითხებთან ერთად, მას შეუძლია დააკოპიროს, გადარქმევა, წაშალოს და შეცვალოს ფაილების დროის შტამპიც კი.

მიმიკაცი

Mimikatz არის ღია კოდის პროგრამა, რომელიც გამოიყენება მეხსიერებიდან მკაფიო ტექსტური სერთიფიკატების და ჰეშების მოსაპოვებლად და ხელმისაწვდომია 2007 წლიდან. მიუხედავად იმისა, რომ ის არ იყო შემუშავებული, როგორც ჰაკერული ინსტრუმენტი და აქვს ლეგიტიმური გამოყენების შემთხვევები, ის ასევე გამოიყენება როგორც რწმუნებათა სიგელებისა და ადმინისტრატორის პრივილეგიებზე წვდომის საშუალება.

იგი გამოიყენება სხვადასხვა კამპანიებში სხვადასხვა ჯგუფების მიერ -- ეს მოიცავს არა პეტია და ცუდი კურდღელი გამოსასყიდი პროგრამების შეტევები, სადაც ის გამოიყენებოდა Windows-ის აპარატებიდან ადმინისტრატორის რწმუნებათა სიგელების ამოსაღებად, რათა ხელი შეუწყოს შეტევის გავრცელებას.

იხილეთ: რა არის მავნე პროგრამა? ყველაფერი რაც თქვენ უნდა იცოდეთ ვირუსების, ტროასებისა და მავნე პროგრამული უზრუნველყოფის შესახებ

PowerShell იმპერია

შემუშავებული, როგორც ლეგიტიმური შეღწევადობის ტესტირების ინსტრუმენტი 2015 წელს, თავდამსხმელებს დიდი დრო არ დასჭირდათ იმის გასაგებად, რომ მათ შეეძლოთ PowerShell Empire-ის გამოყენება მავნე მოქმედებების განსახორციელებლად. ინსტრუმენტი საშუალებას აძლევს თავდამსხმელებს გააფართოვონ პრივილეგიები, მიიღონ რწმუნებათა სიგელები, ამოიღონ ინფორმაცია და გადაადგილდნენ გვერდითი ქსელში.

მას ასევე მოყვება დამატებითი ბონუსი, რომელიც თითქმის მთლიანად მუშაობს მეხსიერებაში - რაც ართულებს მიკვლევას - და ის ფაქტი, რომ PowerShell არის ლეგიტიმური ოპერაცია, მავნე აქტივობა ხშირად შეუმჩნეველი რჩება უსაფრთხოების პროგრამული უზრუნველყოფის მიერ.

ასეთია PowerShell Empire-ის სიმძლავრე, მას ხშირად იყენებენ ორივე ეროვნული სახელმწიფო და კიბერ კრიმინალები მალულად ჩაატაროს კამპანიები.

C2 დაბინდვის ხელსაწყოები

თუ მათ არ აინტერესებთ აღმოჩენა, თავდამსხმელები ხშირად ეძებენ თავიანთი კვალის დამალვას სამიზნის კომპრომეტირებისას, სპეციალური ხელსაწყოების გამოყენებით მათი მდებარეობისა და აქტივობის გაურკვევლობის მიზნით.

ის, რომელიც გამოიყენება მრავალ თავდასხმაში Htran-ში, ბუნდოვანი ინსტრუმენტი, რომელიც თავისუფლად არის ხელმისაწვდომი ინტერნეტში 2009 წლიდან და ხშირად ხელახლა იტვირთება ისეთ ადგილებში, როგორიცაა GitHub. ამ ხელსაწყოს გამოყენებით, თავდამსხმელებს შეუძლიათ თავი აარიდონ შეჭრისა და აღმოჩენის სისტემებს და დამალონ კომუნიკაციები თავიანთი მართვისა და კონტროლის ინფრასტრუქტურით.

მოხსენებაში ნათქვამია, რომ კიბერ აქტორების ფართო სპექტრი დაფიქსირდა Htran-ის გამოყენებით თავდასხმებში როგორც მთავრობის, ასევე ინდუსტრიის სამიზნეებზე.

კიბერუსაფრთხოების სააგენტოები აფრთხილებენ, რომ ეს შორს არის თავდამსხმელებისთვის ხელმისაწვდომი ერთადერთი თავისუფლად ხელმისაწვდომი ჰაკერული ინსტრუმენტებისგან. თუმცა, არსებობს მთელი რიგი ნაბიჯები, რომელთა გადადგმაც ორგანიზაციებმა შეუძლიათ გააუმჯობესონ თავიანთი შანსები, არ გახდნენ ამ ან მსგავსი ინსტრუმენტების გამოყენებით კამპანიების მსხვერპლი.

NCSC-ის რეკომენდაციები მოიცავს მრავალფაქტორიანი ავთენტიფიკაციის გამოყენებას, ქსელების განცალკევებას, უსაფრთხოების მონიტორინგის შესაძლებლობის დაყენებას და სისტემებისა და პროგრამული უზრუნველყოფის განახლებას.

წაიკითხეთ მეტი კიბერუსაფრთხოების შესახებ

  • კიბერუსაფრთხოება: თქვენს უფროსს არ აინტერესებს და ეს უკვე არ არის კარგი
  • აშშ და დიდი ბრიტანეთი აფრთხილებენ რუსი ჰაკერების შესახებ მილიონობით როუტერს CNET
  • ახალი იარაღი რუსული კიბერშეტევების წინააღმდეგ: დასახელება და შერცხვენა
  • როგორ ამოვიცნოთ და დავიცვათ კიბერუსაფრთხოების მკვლელობის ჯაჭვის ნაბიჯებისგანTechRepublic
  • კომპიუტერული უსაფრთხოების ხუთი შეკითხვა, რომლებზეც პასუხის გაცემა ახლავე უნდა გქონდეთ