Kırmızı ekip aracı geliştiricisi ‘sorumsuzca’ açıklamayı eleştirdi

Birleşik Krallık siber güvenlik danışmanlığı ve penetrasyon testi uzmanı MDSec, ticari Nighthawk çerçevesini savundu ve Proofpoint’teki araştırmacıların, aracın siber suçlu yeraltında yaygın kullanıma dahil edilme riski olduğu konusunda uyarmasının ardından, bunun “sorumsuz” bir ifşa olarak nitelendirdiği şeyi eleştirdi. Cobalt Strike ve Sliver ve Brute Ratel gibi diğerleri ile.

Cobalt Strike gibi, Nighthawk da kırmızı takım penetrasyon testi için kullanılan meşru bir komuta ve kontrol (C2) çerçevesidir ve ticari lisanslama yoluyla satılır.

Devlet kurumlarına siber hizmetler sunmak için Birleşik Krallık hükümetinin CESG teknik otoritesi tarafından akredite edilen ve Crest ve Ulusal Siber Güvenlik Merkezi gibi çok sayıda başka rozete sahip olan Cheshire merkezli MDSec bünyesinde geliştirildi.

MDSec, 2021’de Nighthawk’ı piyasaya sürdü ve bunu “piyasada bulunan en gelişmiş ve kaçamak C2 çerçevesi … genellikle olgun, yüksek düzeyde izlenen ortamlarda görülen modern güvenlik kontrollerini atlatmak ve atlatmak için tasarlanmış, oldukça şekillendirilebilir bir implant” olarak tanımladı.

Ancak Proofpoint, Eylül 2022’de sistemlerinin Nighthawk çerçevesinin bir uzaktan erişim truva atı (RAT) olarak ilk teslimatını tespit ettiğini söylüyor. Sistemleri, tıklandığında yürütülebilir dosya olarak Nighthawk yükleyici yükünü içeren bir ISO dosyasına götüren bağlantılar içeren “Sadece kontrol ediyorum” ve “Umarım bu işe yarar2” gibi genel konu satırlarıyla gönderilen birkaç test e-postası yakaladı.

Nighthawk’ın bu dağıtımının gerçek bir kırmızı takım çalışmasının parçası olarak göründüğünü ve içlerindeki e-postaların ve bağlantıların yalnızca kötü niyetli gibi göründüğünü söyledi.

Proofpoint ayrıca Nighthawk’ın herhangi bir sızdırılmış sürümünün atfedilen herhangi bir tehdit aktörü tarafından benimsendiğinden haberdar olmadığını vurguladı, ancak bu şekilde sahiplenilmeyeceğini varsaymanın “yanlış ve tehlikeli” olacağını söyledi.

“Tehdit aktörleri yeni bir araç ararken veya araç belirli bir seviyeye ulaştığında, etkili ve esnek kullanım sonrası çerçevelerin kırık sürümleri internetin karanlık köşelerinde ortaya çıkabileceğinden, özellikle tespit sağlayıcıları bu aracın uygun şekilde kapsandığından emin olmalıdır. yaygınlık, ”dedi ekip.

Tehdit aktörlerinin meşru araçları cephaneliklerine almalarının birçok nedeni vardır. Savunucuların veya araştırmacıların etkinlik kümelerini ilişkilendirmesini zorlaştırabilirler ve genellikle uç nokta tespitinden kaçınma gibi belirli özellikler içerirler. Nighthawk’ın durumunda, araştırmacılar, ürünün gelişmiş yeteneklerinin, özellikle de kapsamlı yapılandırılabilir kaçırma teknikleri listesinin, onu ileriye dönük kötü niyetli aktörler için son derece çekici kılabileceğine inanıyor.

Proofpoint tehdit araştırması ve tespitinden sorumlu başkan yardımcısı Sherrod DeGrippo, “Nighthawk penetrasyon testi çerçevesi gibi meşru araçlar, farklı beceri düzeyleri ve motivasyonları olan tehdit aktörlerinin her zaman favorisidir” dedi.

“Atfı karmaşıklaştırabilir, uç nokta tespitinden kaçmayı kolaylaştırabilir ve her yönden güvenlik araştırmacılarının işlerini olduğundan daha zor hale getirebilirler. Daha büyük topluluk, bir sonraki potansiyel tehdide hazırlanmak için elde edebileceği her avantaja ihtiyaç duyar ve bu, en iyi niyetlerle oluşturulmuş araçlara bile derinlemesine dalmak anlamına gelir.

MDSec direktörü Dominic Chell, Computer Weekly’ye şunları söyledi: “Nighthawk’ın gayri meşru faaliyetler için kullanıldığının farkında değiliz ve bu teoriyi destekleyecek herhangi bir kanıt üretilmemiştir. İzinsiz giriş yazılımı ihracatçısı olarak rolümüzü çok ciddiye alıyoruz ve yazılımı satın almak isteyen her şirkete sıkı bir inceleme uyguluyoruz.”

Computer Weekly ayrıca, MDSec’in dağıtımı kontrol etmek ve Nighthawk çerçevesinin nasıl ve nerede kullanıldığını izlemek için yürürlükte olan bir dizi önlemi olduğunu anlıyor, ancak bunların tüm teknik ayrıntıları güvenlik nedenleriyle açıklanamıyor.

Teknik olmayan inceleme prosedürlerinden bazıları, bireylerin, yüklenicilerin veya tek operatörlü kırmızı ekiplerin erişiminden uzak tutmak için çok koltuklu bir lisanslama gerekliliğini ve diğer benzer ürünlerde olduğu gibi kendi kendine barındırılan deneme lisanslarının tamamen yasaklanmasını içerir. bu tür denemelerle ifşa edildi.

Şirket, ihracat yaptığı yerlerde, stratejik ve askeri kalemler listesindeki kontrollü malların ihracatını yöneten hükümetin Açık Genel İhracat Lisansına (OGEL) göre ihracat yapıyor – Nighthawk “askeri ve ikili kullanım” kategorisine giriyor – ki bu yetkilendirme gerektirir.

Nighthawk’ı Avrupa Birliği, Avustralya, Kanada, Japonya, Yeni Zelanda, Norveç, İsviçre, Lihtenştayn ve ABD’de dağıtmak için lisanslanmıştır. Bir blog gönderisinde MDSec, Nighthawk’ı satın almak için onayladığından çok daha fazla yaklaşımı reddettiğini söyledi.

MDSec, Proofpoint’in tavsiyesi halka açıklanmadan önce kendisine yaklaşılmadığını ve tedarikçinin izlemesinin aldığı faaliyetin meşruluğunun onaylanmasının istenmediğini söyledi. Firma, Proofpoint’in bir dizi yayınlanmamış EDR atlama tekniğine ilişkin belgelemesini “sorumsuzca” olarak nitelendirdi ve bu bilgilerin artık tehdit aktörleri tarafından kullanılabileceğini söyledi.

Şirket, telemetrilerinde gözlemleyebilecekleri Nighthawk etkinliğinin meşruiyetini doğrulamak isteyen tüm güvenlik tedarikçilerini doğrudan iletişime geçmeye çağırdı.

Read Previous

Photobox site güvenilirliğini resimde nasıl koruyor?

Read Next

“Denetim yıkama” uygulamaları tarafından engellenen AI hesap verebilirliği

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -