Слингсхот АПТ

Слингсхот АПТ је име дато високософистицираној групи хакера одговорних за примену сложене претње ексфилтрацијом података. Због природе своје делатности. Истраживачи инфосец-а верују да је циљ Слингсхот АПТ-а корпоративна шпијунажа. Методе које користе хакери показују да су провели доста времена стварајући свој комплет алата за малвер. Активности групе су настављене од 2012. до најмање 2018. године.

Нападна платформа коју је успоставио Слингсхот укључује више фаза и неколико вектора компромиса. Један потврђени метод је био преко Микротик рутера који су модификовани тако да укључују оштећену компоненту коју је преузео Винбок Лоадер, легитимни софтвер за управљање који се користи за Микротик конфигурацију. Када корисник покрене Винбок Лоадер, он се повезује са компромитованим рутерима и преузима заражене датотеке динамичке библиотеке (.ДЛЛ) на рачунар жртве. Једна од .ДЛЛ датотека под називом 'ипв4.длл' служи као средство за уклањање додатних модула злонамерног софтвера тако што се повезује на тврдо кодирану ИП адресу и порт. Легитимна Виндовс библиотека 'сцесрв.длл' ће бити замењена оштећеним претендентом који има потпуно исту величину.

Највећи део штетних активности обављају два софистицирана модула под називом 'Цахнадр' и 'ГоллумАпп' који раде у тандему. 'Цахнадр', такође познат као Ндривер, је модул кернела одговоран за мрежне рутине ниског нивоа, ИО операције, итд. Да би уградио свој код на ниво кернела, Слингсхот злоупотребљава легитимне драјвере са познатим рањивостима тако што их учитава и покреће свој код кроз рањивости (као што су ЦВЕ-2007-5633, ЦВЕ-2010-1592 и ЦВЕ-2009-0824). Добијање приступа на тако ниском нивоу система омогућава хакерима да имају скоро неограничену контролу над компромитованим рачунарима. Нападачи су лако могли да заобиђу било коју заштиту коју спроводи жртва. Мора се напоменути да је 'Цахнадр' способан да обавља своје претеће функције без рушења система или изазивања плавог екрана са грешком.

Други модул Слингсхот - ГоллумАпп, је далеко сложенији, укључујући преко 1500 кориснички дефинисаних функција. Има задатак да постави механизам за упорност претње, манипулисање фајл системом на компромитованом уређају, као и руковање комуникацијом са командно-контролном (Ц2, Ц&Ц) инфраструктуром.

Слингсхот прикупља значајну количину информација од компромитованих система. Малвер може да добије податке са тастатуре, мрежне податке, УСБ везе, лозинке, корисничка имена, приступи клипборду, направи снимке екрана итд. Чињеница да Слингсхот има приступ на нивоу кернела значи да би нападачи потенцијално могли да прикупе све што желе, као што је кредит/ детаљи дебитне картице, бројеви социјалног осигурања и лозинке. Сви прикупљени подаци се ексфилтрирају кроз стандардне мрежне канале. Злонамерни софтвер сакрива свој ненормалан саобраћај у легитимним повратним позивима, вршећи провере за све Слингсхот пакете и враћајући само филтрирани нормалан саобраћај кориснику и свим потенцијалним апликацијама за њушкање које би могле бити инсталиране.

У тренду

Најгледанији

Учитавање...