Technology

Pelaku ancaman menyalahgunakan alat pengujian penetrasi untuk serangan – Keamanan

Peneliti keamanan memperingatkan bahwa pelaku ancaman menyalahgunakan muatan berbahaya yang terkait dengan alat simulasi serangan permusuhan Brute Ratel C4, perangkat lunak yang sah, untuk menghindari deteksi.

Unit 42 Palo Alto Networks mengatakan bahwa pada bulan Mei tahun ini, mereka mengunggah sampel malware ke sistem VirusTotal Google untuk melihat apakah itu dapat diidentifikasi.

Semua 56 mesin malware di Virus Total menilai sampel sebagai jinak, meskipun Unit 42 mengatakan itu berisi muatan Brute Rate C4.

Alat ini kurang terkenal dibandingkan Cobalt Strike, yang populer di kalangan penguji penetrasi, dan komponennya juga telah digunakan untuk tujuan jahat.

Bahwa Brute Ratel C4 tidak terdeteksi oleh pemindai malware merupakan penyebab kekhawatiran, Unit 42 mengatakan: “alat ini secara unik berbahaya karena dirancang khusus untuk menghindari deteksi dengan kemampuan deteksi dan respons titik akhir (EDR) dan antivirus (AV).

“Keefektifannya dalam melakukan hal itu dapat dengan jelas disaksikan oleh kurangnya deteksi yang disebutkan di atas di seluruh vendor di VirusTotal,” tulis Unit 42.

Brute Rate C4 dikembangkan oleh peneliti keamanan India Chetan Nayak, sebelumnya dari Mandiant dan Crowdstrike.

Ini adalah alat untuk mensimulasikan serangan, dan dapat disesuaikan untuk bertindak sebagai pusat kendali untuk tujuan pengujian penetrasi, ketika digunakan oleh Tim Merah melawan Tim Biru yang bertahan.

Nayak mengatakan dia merekayasa balik beberapa EDR tingkat atas dan perpustakaan tautan dinamis antivirus (DLL) sebelum membangun versi baru Brute Ratel C4, dan mengatakan alat itu memiliki 480 pengguna di 350 pelanggan.

Brute Rate C4 berharga US$2500 per lisensi, dengan pembaruan dikenakan biaya US$2250, berpotensi menghasilkan Nayak lebih dari satu juta dolar setahun.

Di tanggapan untuk analisis Unit 42, Nayak mengatakan dia telah mengambil tindakan terhadap lisensi yang digunakan untuk tujuan jahat, dan yang dijual di pasar gelap.

Penggunaan EDR dan AV DLL yang direkayasa ulang “menjadi perhatian yang lebih besar,” kata Unit 42.

“Analisis kami menyoroti perdebatan yang sedang berlangsung dan relevan dalam industri keamanan siber seputar etika yang berkaitan dengan pengembangan dan penggunaan alat pengujian penetrasi yang dapat dieksploitasi untuk tujuan ofensif,” tambah peneliti keamanan.

Unit 42 percaya malware itu dikemas dengan cara yang konsisten dengan kelompok peretas APT29, yang dikatakan sebagai bagian dari SVR Layanan Intelijen Asing Rusia.

APT29 menjadi terkenal setelah pemerintah Barat menilai kelompok tersebut berada di balik serangan rantai pasokan SolarWinds skala besar yang membahayakan pengecer dan penyedia layanan Microsoft.

Unit 42 mendorong vendor keamanan untuk mengembangkan deteksi Brute Rate C4, dan waspada dari aktivitas yang berasal dari alat tersebut.


Posted By : pengeluaran hk hari ini 2021