Symulator działania APT (w tym CobalStrike)
#1
Znany i bardzo ceniony w kręgach security Florian Roth (twórca m.in dawnego skanera Loki, lub znacznie mocniejszej wersji tego narzędzia Thor) zaprezentował narzędzie, które symuluje działanie podejmowane w trakcie ataków grup APT/crimeware.
Narzędzie symuluje próby dostępu do haseł, enumeracji, latheral movementu, czy tworzenia w pamięci beaconów CobalStrike. Jeśli ktoś chce przetestować czy jego AV poza sygnaturami potrafi wychwycić takie podejrzane zachowania (jak robią to właśnie EDR'y) to narzędzie jest do pobrania z githuba
Odpowiedz
#2
To cholerstwo jest Smile Pobrałem i rozpakowałem, potem wszystkim dyskom włączyłem Shadow Mode i odpaliłem wszystkie testy. SpyShelter pytał o mnóstwo rzeczy, jeszcze więcej wrzucił do logu...zauważyłem, że w ciągu jednej sekundy potrafił zanotować nawet do 8 chyba akcji. Dawałem wszystkie akcje na zezwól, bo tylko tak mogłem się przekonać, co będzie się działo - gdybym zabronił jakąś pierwszą wykrytą po uruchomieniu symulatora, to pewnie byłoby po teście.
W komunikacie przed uruchomieniem testu jest ostrzeżenie, żeby nie wykonywać testu na produkcyjnym systemie, bo grozi to jego uszkodzeniem. I słusznie, bo nie chodzi nawet o sam dysk z systemem, ale szkodnik próbuje modyfikować wszystkie dostępne lokalne dyski, nawet te ukryte dla użytkownika w efekcie czego można stracić dane na nich zgromadzone.
Dzięki za test Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Hmm..

Ostrzeżenie jest, ale to raczej w formie pewnego "dupochronu" autora, aby ktoś nie miał potem pretensji. Te skrypty które są wykonywane, są zmodyfikowane tak aby faktycznie nie czynić szkody, natomiast dokładnie w ten sam sposób są uruchamiane jak robiłoby to malware i w podobny sposób działają - lub naśladują sposób komunikacji z serwerami c2 uruchomionych w pamięci implantów. Podobnie symulowane jest mechanizm wywołania i instalacji tych usług przez obfuskowane skrypty powershellowe. Oczywiście część akcji które mogłyby być faktycznie przez atakującego wykorzystana, jest wykonywana dokładnie tak samo i przy użyciu takich samych "tooli" jak robiliby to Adwersarze - tak jest np. w przypadku zrzucenia lsass (co jest bardzo typowe dla większości ataków APT - aby potem ew. przejąć kredki). Różnica polega tutaj tylko na tym, że dane te potem nie są wysyłane do żadnego serwera przestępców. Ale samo działanie powinno wzbudzić **przynajmniej** natychmiastowy alert ze strony naszego systemu security (praktycznie zawsze takie działanie jest podejrzane/szkodliwe). Enumeracja przy użyciu tego narzędzia jest ciut mniej inwazyjna - i pewnie mogła by nie budzić nawet alertu - ale powinna, gdyby system sucurity brał pod uwagę parę parametrów (nie tylko metody/cmdlety użyte w skrypcie, czy też rodzaj dostępu do informacji systemowych który ogólnie nie jest szczególnie objęty ściślejszą ochroną), ale również to co tą enumerację wywołało i w jaki sposób i gdzie następuje zapis wyników etc. Tak przynajmniej zadziałałby EDR lub dobry system behawioralny.

To co jest symulowane to po prostu typowe zachowanie każdego poważniejszego zagrożenia które może atakować sieci firmowe/korporacyjne i które próbuje przejść przez możliwie wiele etapów (enumeracji, persystencji, eksfiltracji etc.). 

Moim zdaniem wnioski są dość ciekawe - choć raczej zbieżne z obserwacjami dotyczącymi tego na co dany AV kładzie nacisk

Dla przykładu u mnie ESET blokował tylko i wyłącznie niektóre PowerShelle - które były triggerowane przez jego sygnatury heurystyką, natomiast behawioralnie leżał i kwiczał kompletnie, pokazując, że jeśli nie ma czegoś zbliżonego w swoich sygnaturach to niestety nie ma co liczyć na jakąś ochronę. Ciągłe instalacje podejrzanych usług nie wzbudzały u niego nawet żadnego odruchu - bo przecież np. nie próbowały się łączyć z adresami które ma w bazie. A że próbowały się łączyć z adresami, których tam nie ma, to go kompletnie nie interesowało... taki poziom ochrony. Tongue

Dla porównania Kaspersky - po chwili sam zgłosił podejrzane działanie wywołane przez plik wsadowy i je wycofał (oczywiście można się pobawić, aby potestować każdy z modułów osobno).  Jako ciekawostkę podam, że ESET plikiem wsadowym które odpalał co rusz coś nowego w ogóle się nie interesował, co najwyżej od czasu do czasu usuwał ktoryś ze skryptów powershellowych które były przezeń pobierane. Jednak "źródło" problemu nie było nawet zidentyfikowane...

Moim zdaniem to bardzo wartościowy test i pokazuje, czy otrzymujemy i mamy ochronę przed tylko tzw.  known - unkown czy też mamy trochę bardziej zaawansowane warstwy ochrony które wychwycą bardziej unkown-unkown (oczywiście na tyle na ile można to zasymulować testem).
Odpowiedz
#4
(14.06.2021, 17:33)ichito napisał(a): To cholerstwo jest Smile . I słusznie, bo nie chodzi nawet o sam dysk z systemem, ale szkodnik próbuje modyfikować wszystkie dostępne lokalne dyski, nawet te ukryte dla użytkownika w efekcie czego można stracić dane na nich zgromadzone.
Dzięki za test Smile

Wydaje mi się, że raczej nie chodzi o modyfikację, ale o enumerację zasobów którą twój system wykrywa i blokuje. W zależności jak się odbywa (jeśli jest to robione z pominięciem typowego API systemowego), może to triggerować takie detekcje.
Odpowiedz
#5
Świetny test i przydatne doświadczenie Smile Muszę zrobić raz jeszcze i ściągnąć logi z SS. Będzie pełna lista, którą postaram się tu wrzucić.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Bitdefender już przy wypakowywaniu blokuje aplikacje.
Sygnaturami poszli?
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości