Nova ferramenta preocupa pesquisadores
26 de Setembro de 2024

Pesquisadores de cibersegurança identificaram a descoberta de uma nova ferramenta de pós-exploração para equipe vermelha chamada Splinter, detectada em uso ativo.

A Unit 42 da Palo Alto Networks compartilhou suas descobertas após descobrir o programa em vários sistemas de clientes.

"Ele possui um conjunto padrão de funcionalidades comumente encontradas em ferramentas de teste de penetração, e seu desenvolvedor o criou usando a linguagem de programação Rust", disse Dominik Reichel da Unit 42.

Embora o Splinter não seja tão avançado quanto outras ferramentas de pós-exploração bem conhecidas, como o Cobalt Strike, ele ainda representa uma ameaça potencial para as organizações se for mal utilizado.

Ferramentas de teste de penetração são frequentemente usadas em operações de equipe vermelha para identificar possíveis problemas de segurança na rede de uma empresa.

No entanto, essas ferramentas de simulação de adversários também podem ser armadas por atores de ameaças para sua vantagem.

A Unit 42 disse que não detectou nenhuma atividade de ator de ameaça associada ao conjunto de ferramentas Splinter.

Ainda não há informações sobre quem desenvolveu a ferramenta.

Artefatos descobertos pela firma de cibersegurança revelam que eles são "excepcionalmente grandes", chegando a cerca de 7 MB, principalmente devido à presença de 61 crates do Rust dentro dele.

O Splinter não é diferente de outros frameworks de pós-exploração, pois vem com uma configuração que inclui informações sobre o servidor de comando e controle (C2), que é analisado a fim de estabelecer contato com o servidor usando HTTPS.

"Os implantes do Splinter são controlados por um modelo baseado em tarefas, o que é comum entre os frameworks de pós-exploração", observou Reichel.

Ele obtém suas tarefas do servidor C2 definido pelo atacante. Algumas das funções da ferramenta incluem executar comandos do Windows, rodar módulos via injeção de processo remoto, fazer upload e download de arquivos, coletar informações de contas de serviços na nuvem e deletar-se do sistema.

"A crescente variedade sublinha a importância de se manter atualizado sobre capacidades de prevenção e detecção, uma vez que os criminosos provavelmente adotarão quaisquer técnicas que sejam eficazes para comprometer organizações", disse Reichel.

A divulgação ocorre enquanto a Deep Instinct detalhou dois métodos de ataque que poderiam ser explorados por atores de ameaças para alcançar injeção de código furtiva e escalonamento de privilégios, aproveitando uma interface RPC no Microsoft Office e um shim malicioso, respectivamente.

"Aplicamos um shim malicioso em um processo sem registrar um arquivo SDB no sistema", disseram os pesquisadores Ron Ben-Yizhak e David Shandalov.

Nós efetivamente burlamos a detecção de EDR escrevendo para um processo filho e carregando a DLL alvo a partir do processo filho suspenso antes que qualquer gancho de EDR possa ser estabelecido.

Em julho de 2024, a Check Point também destacou uma nova técnica de injeção de processo chamada Thread Name-Calling que permite a implantação de um shellcode em um processo em execução, abusando da API para descrições de thread enquanto contorna produtos de proteção de endpoint.

"À medida que novas APIs são adicionadas ao Windows, novas ideias para técnicas de injeção estão aparecendo", disse a pesquisadora de segurança Aleksandra "Hasherezade" Doniec.

Thread Name-Calling usa algumas das APIs relativamente novas.

No entanto, ela não pode evitar incorporar componentes mais antigos e bem conhecidos, como as injeções de APC – APIs que sempre devem ser consideradas como uma ameaça potencial.

Da mesma forma, a manipulação de direitos de acesso dentro de um processo remoto é uma atividade suspeita.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...