Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

Recorded Future heeft op 7 januari het Recorded Future’s 2020 Adversary Infrastructure Report gepubliceerd waarin de onderzoekers aangeven dat ze inspelen op een toename in het gebruik van open-source tools door cybercriminelen, omdat deze eenvoudig te gebruiken zijn en zelfs toegankelijk zijn voor criminelen die beperkte technische kennis hebben.

Recorded Future heeft dit rapport gemaakt op basis van hun jaarlijkse eind van het jaar observaties van kwaadaardige infrastructuur. Ze hebben meer dan 10.000 unieke command and control (C2) servers geïdentificeerd verspreid over 80 malwarefamilies. Welke vrijwel allemaal gelinkt kunnen worden aan advanced persistent threat (APT) groepen of hoogwaardige financiële actoren.

“In het volgende jaar, verwacht Recorded Future nog meer in gebruik name van open-source tools die recent in populariteit zijn gestegen, met name Covenant, Octopus C2, Sliver en Mythic,” geeft het rapport aan. “Drie van deze tools hebben grafische gebruikersinterfaces, hierdoor zijn ze eenvoudiger te gebruiken door operators met minder ervaring en alle vier hebben uitgebreide documentatie over hoe ze te gebruiken zijn.”

Open Source en Cobalt Strike domineren

De onderzoekers leggen verder uit dat sinds de broncode van Cobalt Strike afgelopen november was gelekt op GitHub, het gebruik is toegenomen. Daarnaast worden gekraakte en proef versies voornamelijk gebruikt bij bekende APTs zoals APT41, Mustang Panda, Ocean Lotus en FIN7. Cobalt Strike is ook te relateren aan het hoogste nummer aan geïdentificeerde C2 servers in het afgelopen jaar, geven de onderzoekers aan.

Cobalt Strike is een tool voor penetratietesten, welke voor commercieel gebruik beschikbaar is. De tool verstuurt beacons om netwerkkwetsbaarheden te kunnen detecteren. Wanneer het programma wordt gebruikt waarvoor het voor bedoelt is, dan wordt er een aanval gesimuleerd. Kwaadaardige actoren hebben sindsdien uitgevonden hoe ze de tool kunnen gebruiken tegen netwerken om data te stelen, malware uit te trollen en nep C2 profielen aan te maken welke legitiem lijken en detectie vermijden.

Cobalt Strike was gebruikt bij 1.441 geïdentificeerde C2 servers in 2020, gevolgd door Metasploit met 1.122 en PupyRat met 454.

“De families die het meest gezien worden domineren met open source of commercieel beschikbaar tools,” geeft het rapport aan. “Het detecteren van niet aangepaste Cobalt Strike implementaties (vooraf geconfigureerde TLS certificaat, Team Server beheer poort of het gebruikt van verraderlijke HTTP headers) staan voor 13,5% van de totaal geïdentificeerde C2 servers. Metasploit en PupyRAT vertegenwoordigen de andere meest gebruikte open source C2 servers geïdentificeerd door Recorded Future.”

Het gebruik door APTs

Het rapport voegt ook toe dat vrijwel alle geïdentificeerde offensieve security tool (OST), waaronder Cobalt Strike, kunnen worden teruggeleid naar aanvallen van APT actoren.

“Vrijwel alle OSTs gedetecteerd door Recorded Future zijn te linken aan APT of hoogwaardige financiële actoren,” geeft het rapport aan. “De eenvoudige toegang tot het gebruik van deze tools, gemixt met onduidelijkheid over de potentiële bijdrage, worden deze aantrekkelijk voor ongeautoriseerde inbraken en ook red teams.”

Het dreigingenlandschap van APTs is over het algemeen complexer geworden in de laatste paar jaar volgens het rapport van Kaspersky over APT trends in 2020. Dit komt dankzij een grote spreiding van innovatie over verschillende APT groepen met verschillende tactieken, technieken en procedures (TTPs).

Toen de onderzoekers de C2 servers hadden geïdentificeerd, hebben ze deze herleid naar 576 verschillende hosting providers. De meeste waren gehost door Amazon met 471, wat neerkomt op 3,8% van het totaal. Op de tweede plaatst komt Digital Ocean, dat ook vanuit de VS gebaseerd is met 421. Het rapport legt uit dat dit niet direct een rode vlag betreft.

“Het implementeren van Cobalt Strike en Metasploit controllers bij deze providers is geen indicatie van wanpraktijken of nalatig hosten, maar waarschijnlijker door geautoriseerde red teams die de tools gebruiken op de Cloud infrastructuur,” geeft het rapport aan.

Recorded Future geeft aan dat het doel van constant auditen van kwaadaardige infrastructuur om security teams te helpen met het identificeren van actoren wanneer ze bezig zijn met het opzetten van de infrastructuur in plaats van het wachten tot deze actoren deze helemaal draaiend hebben en klaar zijn voor aanvallen. Het rapport heeft gevonden dat er ongeveer 61 dagen doorlooptijd zit tussen wanneer een C2 server wordt aangemaakt en wanneer deze gedetecteerd kan worden. Ook voegt het rapport tot dat de gemiddelde tijd dat deze servers kwaadaardige infrastructuur hosten 54,8 dagen is.

Detectie voordat kwaadaardige infrastructuur gebruikt kan worden zorgt voor mogelijkheden om kwaadaardige actoren te stoppen voordat ze schade kunnen aanrichten, volgens Recorded Future.

“Voordat een server gebruikt kan worden door een kwaadaardige actor, moet het eerst in hun bezit zijn, dit kan zowel via het compromitteren van de server als legitiem kopen,” legt Recorded Future uit. “Daarna moet de software geïnstalleerd worden, configuraties moeten aangepast worden en bestanden toegevoegd worden aan de server. De actoren moeten toegang hebben via een login, SSH of RDP protocollen en daarna de malware controller blootstellen via een poort om toe te staan dat de data kan verplaatst worden vanaf het slachtoffer en ook voor het uitvoeren van commando’s naar infecties. Alleen dan kan de server gebruikt worden voor kwaadaardige doeleinden.”

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Cybersecurity Trends in 2021
DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

9 − acht =

Menu