Siber güvenlik analistleri, bilgisayar korsanlarının gizli komuta ve kontrol (C2) iletişimini kurmak için açık kaynaklı piramit pentesting aracından yararlandığını belirlediler.
Başlangıçta penetrasyon testçileri için bir sömürme sonrası çerçeve olarak tasarlanan piramit, uç nokta güvenlik araçları tarafından tespitten kaçınma yeteneği nedeniyle kötü amaçlı aktörler için çekici bir seçenek haline gelmiştir.
İlk olarak 2023’te GitHub’da yayınlanan araç, Python üzerine inşa edilmiştir ve şifreli yükler teslim edebilen ve meşru Python etkinliği ile sorunsuz bir şekilde harmanlayabilen hafif bir HTTP/S sunucu kullanır.
Çerçeve, saldırganların imzalı Python tercümanları bağlamında çalışmasına izin veren Bloodhound, SecretsDump ve Lazagne gibi araçların bellek içi yürütülmesini desteklemektedir.
Bu teknik, geleneksel uç nokta algılama ve yanıt (EDR) sistemlerini atlayarak piramidi dijital ayak izlerini en aza indirmek isteyen rakipler için güçlü bir varlık haline getirir.
Tespit zorlukları
Piramid’in tasarımı, tespit çabalarını karmaşıklaştıran özellikleri içerir.
HTTP/S sunucusu temel HTTP kimlik doğrulamasını kullanır ve geçerli kimlik bilgileri olmadan erişildiğinde ayırt edici yanıt başlıklarını döndürür.
Örneğin, sunucu “401 yetkisiz” durum kodlarını ve gibi belirli başlıklarla dönebilir. Server: BaseHTTP/0.6 Python/3.10.4 Ve WWW-Authenticate: Basic realm="Demo Realm".
JSON yanıt gövdesi ayrıca {"success": false, "error": "No auth header received"}.
Güvenlik araştırmacıları, piramitle ilgili altyapıyı tanımlamak için bu özelliklere dayalı ağ imzaları geliştirdiler.
HTTP durum kodları, yanıt gövdesi karmalar ve sunucu başlıkları gibi öznitelikleri birleştirerek, savunucular piramid çalıştıran sunucuları algılamak için yapılandırılmış sorgular oluşturabilir.
Bu parametreleri kullanan son taramalar, araçla ilişkili sınırlı sayıda IP adresini ortaya çıkardı ve bu algılama yaklaşımının özgüllüğünü güçlendirdi.
Son Bulgular
Son kampanyalarda piramit sunucularına bağlı birkaç IP adresi tanımlanmıştır.
Özellikle, bu sunucuların bir kısmı meşru organizasyonlara benzeyen alanlarla ilişkilendirildi, potansiyel olarak kimlik avı veya sürüşle indirme girişimlerini gösterdi.
Örneğin, Polonya’daki bir İnternet pazarlama hizmetine benzer alanlara çözümleyen bir sunucu işaretlendi, ancak henüz kötü amaçlı örneklere bağlı değildi.
Piramit gibi açık kaynaklı araçların kötüye kullanılması, halka açık saldırı güvenlik çerçevelerinin çift kenarlı doğasının altını çiziyor.
Etik penetrasyon testi için değerli kaynaklar sağlarken, erişilebilirlikleri tehdit aktörlerinin kötü niyetli işlemler için bunları yeniden kullanmalarını sağlar.
Bu eğilim, proaktif tehdit avı ve sağlam tespit stratejilerinin önemini vurgulamaktadır.
Rakipler, gizli C2 iletişimleri için piramit gibi açık kaynaklı araçlara giderek daha fazla güvenirken, siber güvenlik ekipleri savunmalarını uyarlamalıdır.
Savunucular, kimlik doğrulama zorlukları ve yanıt başlıkları gibi benzersiz ağ eserlerine odaklanarak, yanlış pozitifleri en aza indirirken algılama sadakatini artırabilir.
Bu tür altyapıyı tanımlama ve izleme yeteneği, ortaya çıkan tehditlere karşı erken bir uyarı sistemi sağlar.
Taktiklerin, tekniklerin ve prosedürlerin (TTP’lerin) sürekli evrimi ile önde kalmak, tehdit tespit metodolojilerinde sürekli uyanıklık ve yenilik gerektirir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free