Новости Фреймворк Havoc – очередная альтернатива Cobalt Strike с открытым исходным кодом

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022

Киберпреступники находят новые инструменты, чтобы быть на шаг впереди ИБ-специалистов.​


v2j8bnseesh21inzqoep4u16ymukpcbe.jpg


Исследователи безопасности Zscaler ThreatLabz Для просмотра ссылки Войди или Зарегистрируйся , как злоумышленники переходят на новую платформу управления и контроля ( Для просмотра ссылки Войди или Зарегистрируйся , C&C) с открытым исходным кодом под названием Havoc, в качестве альтернативы Для просмотра ссылки Войди или Зарегистрируйся .

Среди наиболее интересных возможностей Для просмотра ссылки Войди или Зарегистрируйся — кроссплатформенность: он обходит Microsoft Defender на современных устройствах с Windows 11 с помощью метода Для просмотра ссылки Войди или Зарегистрируйся (Обфускация сна), подмену стека адресов возврата и непрямые системные вызовы.

Как и другие комплекты для эксплуатации, Havoc включает в себя широкий спектр модулей, позволяющих пентестерам и хакерам выполнять различные задачи на эксплуатируемых устройствах, включая:

  • выполнение команд;
  • управление процессами;
  • загрузку дополнительных полезных данных;
  • манипулирование токенами Windows;
  • выполнение Для просмотра ссылки Войди или Зарегистрируйся .

Все это делается через панель управления, позволяющую видеть все скомпрометированные устройства, события и выходные данные задач.


0n8yokywtgjvilo9pkyfmdv53w0dk7g2.png

Интерфейс веб-панели Havoc Недавно в начале января неизвестная группа угроз применила этот набор для пост-эксплуатации в рамках кампании, направленной против неназванной правительственной организации.

Исследовательская группа Zscaler ThreatLabz заметила, что загрузчик шелл-кода, сброшенный на скомпрометированные системы, отключает отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружается без заголовков «DOS» и «NT», чтобы избежать обнаружения.

Фреймворк также был развернут с помощью вредоносного npm-пакета «Aabquerys», в названии которого применён метод тайпсквоттинга (Typosquatting) для имитации легитимного модуля.

«Demon.bin — это вредоносный агент с типичными функциями RAT-трояна, который сгенерирован с использованием Havoc. Он поддерживает создание вредоносных агентов в нескольких форматах, включая исполняемый файл Windows PE, PE DLL и шелл-код.


nv8jzsrar5m898uha7b30ol26uyzqb30.png

Список команд Havoc Cobalt Strike стал наиболее распространенным инструментом хакеров для доставки дополнительных полезных нагрузок, но некоторые киберпреступники начали искать альтернативы этому инструменту, поскольку защитники научились эффективнее обнаруживать и предотвращать атаки.

Одним из альтернативных вариантов Для просмотра ссылки Войди или Зарегистрируйся (BRc4), который представляет из себя сложный набор инструментов «для избегания обнаружения EDR-решений и антивирусного ПО». Созданный индийским ИБ-специалистом Четаном Наяком BRc4 является аналогом Cobalt Strike и описывается как «настраиваемый центр управления и контроля для красной команды (Red Team) и эмуляции противника».

Ещё одна бесплатная замена Cobalt Strike, которая Для просмотра ссылки Войди или Зарегистрируйся у хакеров, называется Sliver – Для просмотра ссылки Войди или Зарегистрируйся на основе Go, разработанный ИБ-компанией BishopFox. C&C-сервер Sliver поддерживает несколько протоколов (DNS, HTTP/TLS, MTLS, TCP) и подключение имплантатов, а также может размещать файлы, имитирующие законный веб-сервер. Поэтому ИБ-специалисты могут настроить прослушиватели для выявления инфраструктуры Sliver в сети.
 
Источник новости
www.securitylab.ru

Похожие темы