Stealthy C2 Communications için Piramit Pentesting Aracı Kullanarak Bilgisayar Kalesleri


Stealthy C2 Communications için Piramit Pentesting Aracı Kullanarak Bilgisayar Kalesleri

Bilgisayar korsanları, gizli komuta ve kontrol (C2) iletişimini kurmak için açık kaynaklı piramit pentesting aracından yararlanıyor.

İlk olarak 2023’te GitHub’da yayınlanan Pyramit, uç nokta algılama ve yanıt (EDR) araçlarından kaçınmak için tasarlanmış Python tabanlı bir sömürü sonrası çerçevedir.

Hafif HTTP/S sunucu özellikleri, algılamayı en aza indirmek isteyen kötü amaçlı aktörler için çekici bir seçim haline getirir.

Piramit, Python’un birçok ortamda meşru varlığı üzerine inşa edilmiştir ve dosya teslim etmek ve hücum işlemleri için bir C2 sunucusu olarak hareket etmek için Python tabanlı bir HTTP/S sunucusu kullanır.

Çerçeve, Bloodhound, SecretsDump ve Lazagne gibi iyi bilinen araçları doğrudan belleğe yükleyen modülleri içerir.

Hunt.io’daki güvenlik analistleri, bu bellek içi yürütmenin operatörlerin, potansiyel olarak geleneksel uç nokta güvenlik önlemlerini atlayarak imzalı bir Python tercümanı bağlamında hareket etmesine izin verdiğini belirledi.

Piramit ReadMe ekran görüntüsü (kaynak – hunt.io)

Tespit fırsatları

Piramit sunucularının tanımlanması, belirli ağ imzalarının analiz edilmesini içerir. Şüpheli bir piramit sunucusu ile etkileşime girerken, yanıt başlıkları farklı özellikler sergiler:

Server: BaseHTTP/0.6 Python/3.10.4
Date:
WWW-Authenticate: Basic realm="Demo Realm"
Content-Type: application/json

Sunucu ayrıca bir JSON yanıt gövdesi döndürür:-

{
  "success": false,
  "error": "No auth header received"
}
Piramit C2 HTTP 401 Yanıt (Kaynak – Hunt.io)

Son taramalar, 104.238.61 dahil olmak üzere piramit sunucularıyla ilişkili birkaç IP adresi tanımladı.[.]144, 92.118.112[.]208 ve 45.82.85[.]50.

Bu sunucular, bir internet pazarlama hizmeti olan Devagroup’a benzeyen alan adlarıyla bağlantılıydı, ancak henüz kötü amaçlı örnek bulunmamıştı.

Piramit C2 Sunucuları İzlendi (Kaynak – Hunt.io)

Tespit için teknik detaylar:-

  • HTTP Durum Kodu: 401 Yetkisiz
  • Yanıt gövdesi karma (SHA-256): 5447efe7dfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
  • Sunucu Başlığı: BasEttp/0.* Python/3.*
  • Kimlik doğrulama ve içerik başlıkları: Www-authenticate: temel alem = ”demo alem” ve içerik türü: uygulama/json

Bu parametreler, piramitle ilgili altyapıyı tanımlamak ve siber güvenlik savunmalarını geliştirmek için yapılandırılmış sorgular yapmak için kullanılabilir.

Savunucular, kimlik doğrulama zorluklarına, yanıt başlıklarına ve spesifik hata mesajlarına odaklanarak, algılama sadakatini artırabilir ve yanlış pozitifleri en aza indirebilir.

Açık kaynaklı hücum güvenlik araçları ilerlemeye devam ettikçe, benzer uygulamaların izlenmesi yeni altyapı konusunda erken uyarılar sağlayacak ve algılama metodolojilerini geliştirecektir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link