Cyble Research and Intelligence Labs (CRIL), saldırganların siber saldırılar için Red Teaming Tools kullandığını belirledi. Rutin tehdit avı sürecinde araştırmacılar, PowerShell Empire komuta ve kontrol (C&C) altyapısının örneklerini fark ettiler.
PowerShell Empire, kimlik avı e-postaları, kamuya açık BT sistemlerinden yararlanma ve sulama deliği saldırıları vb. gibi vektörler aracılığıyla ilk güvenlik açığından sonra C&C sunucularına bağlanan sahneleyiciler oluşturmak için kullanılan, sömürü sonrası kırmızı bir ekip oluşturma aracıdır. PowerShell Empire ile ilgili dosyaları aramak.
PowerShell İmparatorluğu Çerçevesi
SANS Enstitüsü’ne göre, “Empire’ın C&C trafiği asenkron, şifreli ve normal ağ etkinliğiyle uyum sağlamak üzere tasarlanmıştır”.
Temel olarak, çerçeve bir istemci ve sunucu mimarisine dayanmaktadır. Uzmanlar, yükü ve C&C’yi geliştirmek için PowerShell Empire sunucusunun ve istemcilerinin çalışır durumda olması gerektiğini söylüyor. PowerShell İstemcisi, saldırıyı gerçekleştirmek için bir dinleyici ve hazırlayıcı oluşturmak için kullanılır.
Bu durumda, dinleyici C&C’dir ve sahneleyici, güvenliği ihlal edilmiş sistemde yürütülecek olan yüktür. İlk uzlaşmanın ardından, mağdur sistem C&C ile iletişim kuracak ve kendisini bir aracı olarak kaydedecektir. Bundan sonra, dinleyiciyi kullanarak saldırgan, güvenliği ihlal edilmiş sistemi kolayca yönetebilir.
Burada dinleyici kurban makineden bağlantıyı dinler ve karşılığında sahneleyici ile bağlantıyı kurar. Aşamalayıcılar yük ile ilgilidir ve ilk uzlaşmadan sonra aşamalayıcılar düşürülür ve kurban sisteminde yürütülür.
Araştırmacılar, Empire’ın güvenliği ihlal edilmiş birden çok sistemi tek bir noktada uzaktan yönetmek için bir C&C çerçevesi sağladığına dikkat çekiyor.
“Ağ trafiği şifrelenir ve normal ağ etkinliğiyle karıştırılmak üzere tasarlanmıştır. Aracı, diğer kötü amaçlı faaliyetleri gerçekleştirmek için C&C’den komutları almak için sürekli olarak GET isteği gönderir”, diye açıklıyor Cyble Research and Intelligence Labs.
Bu nedenle, Red ekip oluşturma araçları kritik öneme sahiptir; Bilgisayar korsanları, hedeflerine karşı son derece gizli ve tehlikeli saldırılar yapmak için bu araçları kullanabilir.
Nasıl Korunur?
- Yazılımı yalnızca Play Store veya iOS App Store gibi resmi uygulama mağazalarından indirin ve yükleyin.
- Bilgisayarlar, dizüstü bilgisayarlar ve mobil cihazlar gibi bağlı cihazlarınızda tanınmış bir virüsten koruma ve internet güvenliği yazılımı paketi kullanın.
- Güçlü parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını zorunlu kılın.
- Mümkünse mobil cihazın kilidini açmak için parmak izi veya yüz tanıma gibi biyometrik güvenlik özelliklerini etkinleştirin.
- Telefonunuza gönderilen SMS veya e-posta yoluyla alınan bağlantıları açma konusunda dikkatli olun.
- Android cihazlarda Google Play Protect’in etkinleştirildiğinden emin olun.
- Herhangi bir izni etkinleştirirken dikkatli olun.
- Cihazlarınızı, işletim sistemlerinizi ve uygulamalarınızı güncel tutun.
Bu nedenle, mobil cihazlarda yüklü uygulamaların Mobil/Wi-Fi veri kullanımını düzenli olarak kontrol etmek ve Antivirüsler ve Android işletim sistemi tarafından sağlanan uyarılardan haberdar olmak önemlidir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap