Securelist выпустил вдумчивый — и несколько пессимистичный — отчёт о том, как преступники не во благо использовали открытый и полностью законный инструмент для тестирования безопасности браузеров. Речь идёт об эксплойт-фреймворке для тестирования браузеров на проникновение, известном как BeEF. Преступники применили его в целом ряде разнообразных атак, включая весьма высокопрофильные.
Проба на прочность: законные инструменты для #кибершпионажа
Tweet
Новая тенденция: хакеры играют на понижение
По данным исследователей «Лаборатории Касперского», налицо новая тенденция в киберподполье. Вместо того чтобы писать собственные вредоносные инструменты, преступники всё чаще и чаще используют готовые вредоносные программы — абсолютно легальное программное обеспечение.
BeEF — Абсолютно «чистое» ПО, разработанное с ясной практической целью. Вот выдержка из официального описания:
«Это инструмент тестирования на проникновение, в котором основной упор сделан на веб-браузере. На фоне растущей озабоченности по поводу веб-атак на клиенты, в том числе мобильные, BeEF позволяет профессиональному пентестеру оценить фактическое состояние безопасности целевого окружения посредством против атак со стороны клиента. В отличие от других фреймворков безопасности BeEF заглядывает дальше укреплённого периметра сети и клиентской системы и изучает эксплуатируемость в контексте одной «открытой двери»: веб-браузера. BeEF использует один или несколько веб-браузеров в качестве плацдармов для запуска направленных… атак на систему в контексте браузера».
Процедура тестирования на проникновение и вредоносная атака отличаются только результатом и тем, насколько благонамеренны сами взломщики. С технической точки зрения пентест и атака — это одно и то же (или почти то же самое). Зловредные хакеры — тоже своего рода тестировщики на проникновение. Но атакованная ими компания за такие «услуги» добровольно не заплатит.
Не в первый раз
BeEF — не первый законный инструмент, использованный злонамеренно. Далеко не первый.
Специалисты «Лаборатории Касперского» ранее выявляли операторов APT, использовавших легальные решения безопасности и инструменты тестирования на проникновение, — группу Metel и GCMan. Последние применяли в своей деятельности исключительно законные инструменты — утилиты PuTTy, VNC (см. https://www.offensive-security.com/metasploit-unleashed/vnc-authentication/) и Meterpreter.
Securelist также упоминает APT Crouching Yeti и TeamSpy, которые использовали как агрессивные наборы инструментов с открытым исходным кодом, так и легальное программное обеспечение для осуществления своих атак.
BeEF — не первый законный инструмент, использованный злонамеренно. #кибератака
Tweet
Дабы не слишком заострять на этом внимание, отметим ещё хорошо известный продукт Metasploit от Rapid7, официально легитимный и включающий в себя примерно 900 рабочих эксплойтов, так что даже какие-нибудь скрипт-кидди в состоянии нанести серьёзный урон любой незащищённой сети.
Что касается BeEF, специалисты «Лаборатории Касперского» утверждают, что выявляют всё больше хакерских групп, использующих данный инструмент в качестве «привлекательной и эффективной альтернативы» обычным вредоносным средствам.
«Этот факт следует принять во внимание корпоративным отделам безопасности в целях защиты своих организаций от этого нового вектора угроз», — говорит Курт Баумгартнер, ведущий эксперт по безопасности «Лаборатории Касперского».
Противодействие (лёгкой прогулки не ждите)
В Центре глобальных угроз и анализа (GReAT) «Лаборатории Касперского» считают, что эффективная профилактика атак, связанных с использованием BeEF, требует сочетания технологий, поскольку злоумышленники задействуют целый ряд методов. Если отключение JavaScript — не вариант (а в большинстве случаев это так), то потребуется сочетание сетевого обнаружения и хост-детектирования, для того чтобы справиться с наиболее серьёзными инцидентами. Существует ещё плагин для браузера Chrome, который выявляет куки BeEF, но матёрые игроки легко его обходят.
Предотвращение кражи учётных данных с помощью социальной инженерии наряду с интеграцией эксплойтов Metasploit также имеет смысл и может быть задействовано в сети эффективнее всего на уровне хоста. Тем не менее, отразить атаку по-настоящему решительно настроенного злоумышленника, использующего такие инструменты, как BeEF, будет непросто, отмечают в GReAT.
Никаких «серебряных пуль» на такой случай не существует, однако есть многоуровневый подход к безопасности, который был (и будет) необходимостью/надёжной практикой.
А поскольку число направленных атак растёт на протяжении последних нескольких лет, «Лаборатория Касперского» разработала специализированные решения как раз для противодействия таким нападениям. Защита от целевых атак — одно из них. Читайте также на Securelist «Стратегии противодействия передовым постоянным угрозам (APT)«, чтобы больше узнать о направленных атаках и методах борьбы с ними.