Tukang kebun tahu bahwa cacing itu baik. Profesional keamanan siber tahu bahwa worm adalah buruk. Sangat buruk. Faktanya, worm secara harfiah adalah kekuatan yang paling menghancurkan untuk kejahatan yang dikenal di dunia komputasi. Worm MyDoom memegang posisi meragukan sebagai malware komputer paling mahal pernah – bertanggung jawab atas kerusakan sekitar $52 miliar. Di tempat kedua… Sobig, cacing lain.
Namun, ternyata ada pengecualian untuk setiap aturan. Beberapa cacing biologis sebenarnya tidak diterima di sebagian besar kebun. Dan beberapa cacing dunia maya, tampaknya, dapat menggunakan kekuatan mereka untuk kebaikan …
Temui Hopper, Cacing yang Baik
Alat pendeteksi tidak bagus dalam menangkap propagasi berbasis non-eksploitasi, itulah yang paling baik dilakukan oleh worm. Sebagian besar solusi keamanan siber kurang tahan terhadap metode serangan worm seperti peniruan identitas token dan lainnya yang memanfaatkan konfigurasi internal yang kurang – PAM, segmentasi, penyimpanan kredensial yang tidak aman, dan banyak lagi.
Jadi, cara apa yang lebih baik untuk mengalahkan cacing siluman selain dengan … cacing siluman lainnya?
Dan dengan demikian lahirlah Hopper! Hopper adalah worm nyata, dengan perintah dan kontrol, eskalasi hak istimewa bawaan, dan banyak lagi kemampuan wormkind yang paling licik. Namun berbeda dengan kebanyakan cacing, Hopper dibangun untuk berbuat baik. Alih-alih menyebabkan kerusakan, Hopper memberi tahu operator White Hat di mana dan bagaimana ia berhasil menyusup ke jaringan. Ini melaporkan seberapa jauh ia masuk, apa yang ditemukan di sepanjang jalan, dan bagaimana meningkatkan pertahanan.
Dekat dan Pribadi dengan Hopper
Tim pengembangan di Hopper berbasis Cymulate pada malware stager umum – executable kecil yang berfungsi sebagai muatan awal, dengan tujuan utamanya adalah menyiapkan muatan yang lebih besar. Stager kami juga berfungsi sebagai PE packer, program yang memuat dan mengeksekusi program secara tidak langsung, biasanya dari sebuah paket.
Stager Hopper ditulis sedemikian rupa sehingga payload awal tidak perlu diubah jika kita melakukan update ke Hopper. Ini berarti bahwa mengecualikan hash pada setiap pembaruan berubah menjadi riwayat, dan pengguna Hopper hanya perlu mengecualikan hash stager satu kali. Menulis stager dengan cara ini juga membuka jalan untuk mengeksekusi alat lain yang dibutuhkan Hopper.
Untuk memaksimalkan fleksibilitas Hopper, tim kami menambahkan metode eksekusi awal yang berbeda, metode komunikasi tambahan, berbagai cara untuk mengambil payload tahap pertama, metode injeksi yang berbeda, dan banyak lagi. Dan, untuk membuat worm yang sangat tersembunyi, kami perlu mengizinkan kustomisasi maksimum fitur tersembunyi, jadi kami membuat konfigurasi yang hampir seluruhnya dikendalikan oleh operator:
- Konfigurasi muatan awal – metode eksekusi yang dapat dikonfigurasi sepenuhnya termasuk executable, library, skrip python, shellcode, skrip PowerShell, dan banyak lagi
- Konfigurasi payload tahap pertama – metode pengambilan paket yang dapat disesuaikan dan metode injeksi paket (misalnya, injeksi reflektif)
- Konfigurasi suar tahap kedua – saluran komunikasi yang disesuaikan, tetap hidupkan waktu dan batas waktu, dan jitter
- API – penambahan kemampuan baru melalui udara untuk memungkinkan perluasan kemampuan di masa depan yang lebih mudah, termasuk metode komunikasi, metode penyebaran, dan eksploitasi
Eksekusi, Manajemen Kredensial, dan Penyebaran
Eksekusi awal Hopper adalah dalam-mem dan bertahap. Tahap pertama adalah rintisan kecil dengan kemampuan terbatas. Rintisan ini tahu cara menjalankan bagian kode yang lebih signifikan daripada memuat kode di dalamnya – membuatnya lebih sulit untuk menandai ini sebagai file berbahaya. Untuk eskalasi hak istimewa, kami memilih metode bypass UAC yang berbeda, mengeksploitasi layanan yang rentan seperti Spooler dan menggunakan layanan yang salah konfigurasi atau autoruns untuk mendapatkan peningkatan atau persistensi hak istimewa. Idenya di sini adalah agar Hopper menggunakan hak istimewa minimum yang diperlukan untuk mencapai tujuannya. Misalnya, jika sebuah mesin menyediakan akses pengguna ke mesin target kami, Hopper mungkin tidak perlu meningkatkan hak istimewa untuk menyebar ke mesin target itu.
Hopper memiliki fitur manajemen kredensial terpusat, yang memungkinkannya untuk mendistribusikan kredensial antara instans Hopper dengan kebutuhan – artinya semua Hopper memiliki akses ke kredensial yang dikumpulkan, menghilangkan kebutuhan untuk menduplikasi basis data kredensial sensitif di seluruh mesin lain.
Untuk menyebar, Hopper lebih memilih kesalahan konfigurasi daripada eksploitasi. Alasannya? Eksploitasi berpotensi merusak sistem, lebih menonjol dan mudah diidentifikasi oleh produk IPS/pemantau jaringan dan produk EDR. Kesalahan konfigurasi, di sisi lain, tidak mudah dideteksi sebagai aktivitas jahat. Misalnya, kesalahan konfigurasi Direktori Aktif dapat menyebabkan pengguna mendapatkan akses ke sumber daya yang seharusnya tidak dia akses, dan oleh karena itu menyebabkan penyebaran. Demikian pula, kesalahan konfigurasi perangkat lunak memungkinkan pengguna untuk mengeksekusi kode dari jarak jauh dan karena itu menyebabkan penyebaran.
Komunikasi Siluman dan C&C
Tim Cymulate memilih eksekusi dalam memori untuk Hopper, karena mengenkripsi kode malware dalam memori setelah tidak lagi digunakan dapat mengganggu kemampuan produk EDR untuk sidik jari konten dalam memori. Selain itu, eksekusi dalam memori menggunakan panggilan sistem langsung alih-alih panggilan API, yang dapat dipantau oleh produk EDR. Jika Hopper memang perlu menggunakan fungsi API, Hopper akan mendeteksi dan membongkar kait EDR sebelum melakukannya.
Untuk menjaga siluman, Hopper berkomunikasi dengan Command and Control selama jam kerja dengan menutupi aktivitas dengan aktivitas jam kerja normal dalam pola waktu acak. Itu juga berkomunikasi hanya dengan server yang diizinkan atau server yang tidak dianggap berbahaya, seperti saluran Slack, Google Spreadsheet, atau layanan publik lainnya.
Garis bawah
Untuk mencegah serangan cacing, Hopper seperti cacing White Hat adalah solusi ideal. Dengan melihat jaringan dari sudut pandang worm, bisa dikatakan, Hopper mengubah keuntungan terbesar worm menjadi keuntungan terbesar bek.
Catatan: Artikel ini ditulis dan disumbangkan oleh Yoni Oren, Ketua Tim, Peneliti Keamanan Senior dan Pengembang di Cymulate.
#Beberapa #Cacing #Menggunakan #Kekuatannya #untuk #Kebaikan
