Flying Under the Radar- Tehnike za izbjegavanje sigurnosti

U današnjem blogu ćemo pokazati evoluciju phishinga i tehnika izbjegavanja malicioznog softvera i shvatite kako napadači koriste sve sofisticiranije metode da zaobiđu sigurnosne mjere.

Evolucija phishing napada

Bilo da se radi o trikovima, tehnikama ili tehnologijama, hakeri će učiniti sve da izbjegnu otkrivanje i osiguraju da njihov napad bude uspješan”, kaže Etay Maor, glavni sigurnosni strateg u Cato Networks i član Cato CTRL-a . Napadi phishing-a su se značajno promijenili tokom godina. Prije 15-20 godina, jednostavne phishing stranice bile su dovoljne za hvatanje krunskih dragulja tog vremena – podataka o kreditnoj kartici. Danas su napadi i metode odbrane postali mnogo sofisticiraniji, kao što ćemo detaljno objasniti u nastavku.

“Ovo je takođe vrijeme kada je počela igra napada i odbrane “mačka i miš”, kaže Tal Darsan, menadžer sigurnosti i član Cato CTRL-a. U to vrijeme, glavna tehnika odbrane od stranica za krađu identiteta kreditnih kartica uključivala je njihovo preplavljivanje velikim količinama brojeva, u nadi da će ih preplaviti tako da ne mogu identificirati stvarne detalje kreditne kartice.

Ali hakeri su se prilagodili provjeravanjem podataka koristeći metode kao što je Luhn algoritam za provjeru stvarnih kreditnih kartica, provjeru informacija o izdavaocu putem bankovnih identifikacijskih brojeva (BIN) i obavljanje mikrodonacija kako bi provjerili je li kartica aktivna.

Evo primjera kako su napadači potvrdili validaciju brojeva kreditnih kartica unesenih na phishing stranice:

Anti-istraživačke tehnike

Kako je krađa identiteta napredovala, napadači su dodali tehnike protiv istraživanja kako bi spriječili sigurnosne analitičare da proučavaju i zaustave svoje operacije. Uobičajene strategije uključivale su blokiranje IP-a nakon jednokratnog pristupa kako bi se stvorio lažni izgovor da je stranica za krađu identiteta ugašena i otkrivanje proxy servera, jer istraživači često koriste proksije kada istražuju.

Šifra napadača za jednokratni pristup IP adresi:

Šifra napadača za identifikaciju proksija:

Napadači su takođe nasumično birali strukture foldera u svojim URL-ovima tokom proteklih decenija, odvraćajući istraživače da prate phishing sajtove na osnovu uobičajenih imena direktorijuma koji se koriste u kompletima za krađu identiteta. To se može vidjeti na slici ispod:

Izbjegavanje Anti-Virusa

Drugi način da se izbjegne sigurnosne kontrole u prošlosti je bio modificiranje potpisa malicioznog softvera pomoću usluga kriptiranja. Zbog toga ga antivirusni sistemi baziraju na potpisima ne mogu otkriti. Evo primjera takve usluge koja je nekada bila vrlo popularna:

Izbjegavanje provjere uređaja

Pređimo na druge moderne tehnike izbjegavanja. Prvo, phishing napad koji cilja na žrtve prikupljanjem detaljnih informacija o uređaju – kao što su verzija Windowsa, IP adresa i antivirusni softver – kako bi napadači mogli bolje imitirati uređaj žrtve.

Ovi podaci im pomažu da zaobiđu sigurnosne provjere, poput verifikacije ID-a uređaja, koje organizacije, poput banaka, koriste za potvrdu legitimnih prijava. Repliciranjem okruženja uređaja žrtve (npr. Windows verzija, detalji medija plejera, specifikacije hardvera), napadači mogu izbjeći sumnju kada se prijavljuju sa različitih lokacija ili uređaja.

Neke mračne web usluge čak pružaju unaprijed konfigurisane virtuelne mašine koje odražavaju profil uređaja žrtve (pogledajte sliku ispod), dodajući dodatni sloj anonimnosti za napadače i omogućavajući sigurniji pristup kompromitovanim nalozima. Ovo pokazuje kako su nauka o podacima i prilagođavanje postali sastavni dio kriminalnih operacija.

Izbjegavanje otkrivanja anomalija

Drugi slučaj je kada su se branioci suočili sa bandom koja koristi maliciozni softver za iskorištavanje sesija banke uživo, čekajući da se žrtve prijave prije nego što brzo izvrše neovlaštene transakcije. Izazov je bio u tome što se činilo da ove radnje dolaze iz žrtvine vlastite autentificirane sesije, što otežava otkrivanje.

To je rezultovalo igrom mačke i miša između napadača i branioca:

• U početku, branioci su implementirali provjeru brzine, označavajući transakcije završene prebrzo kao vjerovatno lažne.
• Kao odgovor, napadači su modificirali svoj kod kako bi simulirali brzinu kucanja kod ljudi dodavanjem kašnjenja između pritisaka na tipke. To se može vidjeti u kodu ispod:
• Kada su se odbrambeni igrači prilagodili za ovo dodavanjem nasumičnih provjera vremena, napadači su se suprotstavili s promjenjivim kašnjenjima, dodatno se uklopili u legitimno ponašanje.

Ovo ilustruje složenost otkrivanja sofisticiranih, automatizovanih bankarskih prevara usred legitimnih transakcija.

Izbjegavajući phishing napadi

Sada pređimo na novije napade. Jedan od najistaknutijih napada koje je analizirao Cato CTRL uključivao je pametan phishing napad dizajniran da oponaša Microsoftovu podršku. Incident je počeo porukom o grešci 403 koja je korisnika usmjerila na stranicu za koju se tvrdi da je “Microsoft podrška”, zajedno sa upitima da “dobije pravu pomoć i podršku”. Stranica je predstavljala opcije za podršku “Kućna” ili “Poslovna”, ali bez obzira na to koja je opcija odabrana, korisnika je preusmjeravala na uvjerljivu stranicu za prijavu na Office 365.

Ova lažna stranica za prijavu napravljena je kao dio šeme društvenog inženjeringa da se korisnici prevare da unesu svoje Microsoft krendicijale. Napad je koristio psihološke okidače, kao što su oponašanje poruka o grešci i upite za podršku, kako bi se izgradio kredibilitet i iskoristilo povjerenje korisnika u Microsoftov brend. Ovo je bio sofisticirani pokušaj krađe identiteta, fokusirajući se na društveni inženjering, a ne oslanjajući se isključivo na napredne tehnike izbjegavanja.

Lanac lažnog preusmjeravanja

U ovoj sljedećoj analizi, Cato CTRL je istražio phishing napad koji je koristio složene tehnike preusmjeravanja kako bi izbjegao otkrivanje. Proces je započeo obmanjujućim početnim linkom, prerušenim u popularni pretraživač u Kini, koji je preusmjeravao preko više URL-ova (koristeći HTTP statusne kodove kao što su 402 i 301) prije nego što je na kraju došao na phishing stranicu hostiranu na decentraliziranom web (IPFS) linku. Ova sekvenca preusmjeravanja u više koraka komplikuje praćenje i evidentiranje, što otežava istraživačima cyber sigurnosti da pronađu pravo porijeklo phishing stranice.

Kako je istraga nastavljena, Cato CTRL istraživač naišao je na više tehnika izbjegavanja koje su ugrađene u kod phishing stranice. Na primjer, stranica za krađu identiteta uključivala je JavaScript kodiran Base64 koji je blokirao interakcije sa tastaturom, efektivno onemogućujući istraživaču mogućnost direktnog pristupa ili analize koda. Dodatne taktike zamagljivanja uključivale su tačke prekida u alatima za programere, koje su prisiljavale preusmjeravanje na legitimnu početnu stranicu Microsofta kako bi ometale dalju inspekciju.

Onemogućavanjem ovih prijelomnih tačaka u Chrome-ovim programerskim alatima, istraživač je na kraju zaobišao ove barijere, omogućivši potpuni pristup izvornom kodu phishing stranice. Ova taktika naglašava sofisticiranu, slojevitu odbranu koju napadači primjenjuju kako bi spriječili analizu i otkrivanje kašnjenja, koristeći anti-sandboxing, JavaScript zamagljivanje i lance preusmjeravanja.

Detekcija zasnovana na phishing resursima

Napadači stalno prilagođavaju svoje tehnike odbrane kako bi izbjegli otkrivanje. Istraživači su se oslanjali na statične elemente, kao što su resursi slika i ikone, da bi identificirali phishing stranice. Na primjer, phishing stranice koje ciljaju Microsoft 365 često repliciraju zvanične logotipe i ikone bez mijenjanja imena ili metapodataka, što ih čini lakšim za uočavanje. U početku je ova konzistentnost davala braniocima pouzdanu metodu otkrivanja.

Međutim, hakeri su se prilagodili nasumičnim odabirom gotovo svakog elementa svojih stranica za krađu identiteta.

Kako bi izbjegli otkrivanje, napadači sada:

1. Nasumično podesi nazive resursa – Nazivi datoteka slika i ikona, koji su prethodno bili statični, jako su nasumični pri svakom učitavanju stranice.
2. Nasumično podešavanje naslova stranica i URL – ova – Naslovi, poddomene i URL putanje se stalno mijenjaju, stvarajući nove nasumične nizove svaki put kada se pristupi stranici, što je čini izazovnijim za praćenje.
3. Implementirajte Cloudflare izazove – oni koriste ove izazove kako bi potvrdili da čovjek (ne automatizirani skener) pristupa stranici, što otežava automatsku detekciju sigurnosnih alata.

Uprkos tome ovim tehnikama, branioci su pronašli nove načine da zaobiđu ove izbjegavanje, iako je to stalna igra prilagođavanja između napadača i istraživača.

Majstorska klasa otkriva još mnogo napada malicioznog softvera i krađe identiteta te kako oni izbjegavaju tradicionalne mjere, uključujući:

• Distributet malicioznog softvera za distribuciju tereta.

• HTML datoteke u phishing porukama e-pošte za pokretanje preuzimanja malicioznog softvera u više koraka koji uključuje zip datoteke zaštićene lozinkom.

• Švercanje datoteka i magična manipulacija bajtovima.

• SVG švrtc i B64 kodiranje.

• Iskoristite pouzdane aplikacije u clpud-u(npr. Trello, Google Drive) za komandu i kontrolu kako biste izbjegli otkrivanje od strane standardnih sigurnosnih sistema.

• Brže injekcije unutar malicioznog softvera kako biste doveli u zabludu alate za analizu malicioznog softvera zasnovane na vještačkoj inteligenciji.

• Prenamjena alata za uklanjanje rootkita TDSS Killer za onemogućavanje EDR usluga, posebno usmjerenih na Microsoft Defender.

• Telegram botovi kao sredstvo za primanje ukradenih krendicijala, omogućavajući napadačima da po potrebi brzo kreiraju nove zone pada.

• Generativna AI koju napadači koriste da pojednostave kreiranje i distribuciju napada.
• Lov na prijetnje zasnovan na mreži bez agenata endpoints-a.

Šta je sljedeće za Defenders?

Kako odbrambeni igrači mogu dobiti prednost u ovoj igri mačke i miša koja je u toku? Evo nekoliko strategija:

1. Obuka o krađi identiteta i svijest o sigurnosti – Iako nije sigurna, obuka za podizanje svijesti povećava vjerovatnoću prepoznavanja i ublažavanja cyber prijetnji.
2. Nadgledanje krendicijala– korištenje alata koji analiziraju obrasce povezivanja mogu preventivno blokirati potencijalno maliciozne aktivnosti.
3. Machine Learning & Threat Detection – Napredni alati za prepoznavanje sofisticiranih prijetnji.
4. Unified Threat Hunting Platform – Jedinstvena, konvergentna platforma (umjesto rješenja sa više tačaka) za prošireni lov na prijetnje. Ovo uključuje traženje prijetnji zasnovano na mreži bez agenata endpoints i korištenje analize mrežnog prometa za otkrivanje IoC-a.
5. Smanjenje površine napada – proaktivno smanjenje površina napada revizijom zaštitnih zidova, podešavanjem konfiguracija i redovnim pregledom sigurnosnih postavki. Rješavanje pogrešnih konfiguracija i praćenje savjeta dobavljača može pomoći u osiguravanju odbrane organizacije od novih prijetnji.
6. Izbjegavanje nadutosti platforme – Višestruke prigušnice napada duž lanca ubijanja prijetnje su od suštinskog značaja, “ali to ne znači dodavanje mnogo tačaka rješenja”, naglašava Maor. “Konvergentna platforma s jednim interfejs-om koje zapravo može pogledati sve: mrežu, podatke, kroz mehanizam za jedan prolaz koji prolazi kroz svaki paket i razumije je li maliciozan ili ne.”

Izvor:The Hacker News