AvNeutralizer osposobljava EDR riješenja

AUTOR ·

AvNeutralizer ili AuKill – rješenje za zaobilaženje softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koje je razvila finansijski motivisana zlonamjerna grupa FIN7, privlači značajnu pažnju zlonamjernih aktera stoji u izvještaju sigurnosne kompanije SentinelLabs.

AvNeutralizer

AvNeutralizer osposobljava EDR riješenja; Source: Bing Image Creator

AVNEUTRALIZER

AvNeutralizer je sofisticirani alat koji je razvila ozloglašena grupa zlonamjernih aktera FIN7 i koji se koristi od aprila 2022. godine. Ovaj napredni komad softvera se nudio na raznim forumima za hakovanje na ruskom jeziku pod različitim pseudonimima, uključujući ”goodsoft”, ”lefroggy”, ”killerAV” i ”Stupor”. Cijene ovog zlonamjernog alata se kreću od 4.000 do 15.000 američkih dolara u zavisnosti od specifičnih karakteristika koje traže potencijalni kupci. AvNeutralizer je dizajniran da cilja različita bezbjednosna rješenja krajnjih tačaka, što ga čini vrijednom imovinom u arsenalu zlonamjernih aktera koji žele da izbjegnu otkrivanje i nekažnjeno sprovode svoje zlonamjerne aktivnosti.

 

“AvNeutralizer (aka AuKill), visoko specijalizovana alatka koju je razviila FIN7 za narušavanje bezbjednosnih rješenja, plasirao se na tržište u kriminalnom podzemlju i koristi ga više grupa za ransomware”

– SentinelOne –

 

Primarna funkcija alata se vrti oko onemogućavanja antivirusnih procesa na kompromitovanim sistemima, čineći žrtve bespomoćnim u daljim napadima. Ova mogućnost čini AvNeutralizer suštinskom komponentom za zlonamjerne aktere koji žele da primjene ransomware ili druge zlonamjerne korisne sadržaje koji se oslanjaju na tehnike sakrivanja i izbjegavanja da bi povećali svoj uticaj.

 

AvNeutralizer reklamiranje

Reklama naglašava kompatibilnost AvNeutralizer zlonamjernog alata sa popularnim proizvodima za zaštitu krajnjih tačaka kao što su Windows Defender, Symantec, Sophos, Panda Security, Elastic, McAfee, Kaspersky i drugi. Ovaj zlonamjerni alat se isporučuje kupcima kao prilagođena verzija koja cilja specifična bezbjednosna rješenja koja kupac zahteva. Iako više uzoraka alata pokazuje isti kôd, lista ciljanih naziva procesa može varirati u zavisnosti od odabrane verzije koju je kupac izabrao. Ova široka podrška omogućava alatu da cilja širok spektar žrtava, povećavajući njegov potencijalni uticaj na različite industrije i organizacije širom sveta.

 

“FIN7 ima istoriju razvoja i korištenja sofisticiranih alata za sopstvene operacije. Međutim, prodaja alata drugim sajber kriminalcima može se posmatrati kao prirodna evolucija njihovih metoda za diversifikaciju i generisanje dodatnog prihoda.”

– Antonio Cocomazzi, SentinelOne researcher –

 

AvNeutralizer razvojni tim je potrošio značajna sredstva na kreiranje ovog softvera. Prema riječima zlonamjernog aktera koji stoji iza nadimka goodsoft, bilo je potrebno više od tri godine i milion američkih dolara za razvoj proizvoda. Ova investicija je očigledno vidljiva iz naprednih mogućnosti i prilagodljivosti alata, što je čini vrijednom imovinom za zlonamjerne aktere koji žele da izvrše ciljane napade na određene organizacije ili industrije.

 

Funkcionisanje

Grupa FIN7 dobija početni pristup ciljnim mrežama na različite načine kao što su phishing elektronske poruke koje sadrže zlonamjerne priloge, iskorišćavanje ranjivosti u izloženim uslugama kao što je protokol za udaljenu radnu površinu (Remote Desktop Protocol – RDP) i korišćenje zaraženih USB medija. Jednom u mreži, oni primjenjuju AvNeutralizer da bi onemogućili bezbjednosne procese i omogućili izvršavanje svog sadržaja zlonamjernog softvera uz minimalnu detekciju ili ometanje antivirusnih rješenja.

Primarni metod alata za onemogućavanje antivirusnog softvera uključuje korišćenje legitimnih sistemskih upravljačkih softvera kao što je Windows ProcLaunchMon.sys upravljački softver, koji se nalazi u direktorijumu sistemskih upravljačkih softvera u kombinaciji sa Process Explorer upravljačkim softverom i može da dovede do grešaka u zaštićenim procesima, što dovodi do stanja uskraćivanja usluge. Ova tehnika omogućava AvNeutralizer alatu da zaobiđe tradicionalne metode detekcije zasnovane na potpisima koje koristi antivirusni softver, čineći ga efikasnim alatom za izbjegavanje bezbjednosnih mjera dizajniranih da zaštite od poznatih prijetnji.

 

FIN7

FIN7 je veoma aktivna grupa zlonamjernih aktera koja djeluje najmanje od 2013. godine i postala je poznata po svojim opsežnim aktivnostima u oblasti sajber kriminala. Primarni fokus grupe bio je na finansijskoj dobiti, ali je nedavno proširila svoj arsenal na ransomware napade. Grupa je poznat po svojim sofisticiranim taktikama, uključujući iskorištavanje lanaca nabavke softvera, distribuciju zlonamjernih USB medija i saradnju sa drugim hakerskim grupama.

 

“Veoma su inovativni, brzo se okreću kada je previše pažnje usmjereno na njih, mijenjajući svoju ličnost za novčić. Ovo je u suprotnosti sa drugim zlonamjernim akterima na koje nailazimo koji prave mnogo buke, ali se ne okreću i ne idu ispod zemlje kada se vrelina poveća – većina je drska i žudi za pažnjom. FIN7 je metodičan i brzo shvata da moraju da promjene pravac pre nego što ih vlasti pronađu.”

Heath Renfrow, Fenix24 co-founder

 

Tokom godina, ova grupa je proširila svoj fokus i mogućnosti, evoluirajući u jednu od najopasnijih sajber kriminalnih organizacija poznatih po svojim sofisticiranim taktikama, tehnikama i procedurama. Rezultati istraživanja pokazuju da su AvNeutralizer šest mjeseci koristili isključivo FIN7 i Black Basta grupe do januara 2023. Međutim, od tada je primijećeno više ransomware grupa koje koriste ažurirane verzije ovog zlonamjernog alata. Ovo sugeriše da je ili izvorni kôd procurio ili prodat drugim zlonamjernim entitetima na podzemnim forumima. Međutim, AvNeutralizer je samo jedan primjer kontinuiranih napora FIN7 grupe da se prilagodi i inovira kako bi ostala ispred sigurnosnih istraživača i stručnjaka za sajber bezbjednost, jer ova grupa koristi alate kao što su:

 

Powertrash

Powertrash je jako zamagljena PowerShell skripta dizajnirana za refleksivno učitavanje ugrađene PE datoteke u memoriju. Ova tehnika omogućava FIN7 grupi da tajno izvršava backdoor korisne terete, izbjegavajući odbranu koja možda traži specifične potpise ili poznate zlonamjerne datoteke. Powertrash korištenje omogućava napadačima da zaobiđu bezbjednosne kontrole i steknu uporište na kompromitovanim sistemima.

 

Diceloader

Diceloader (poznat još kao Lizar ili IceBot) minimalni backdoor koji uspostavlja kanal za komandu i kontrolu (C2), omogućavajući napadačima da kontrolišu sistem slanjem kôdnih modula nezavisnih od pozicije. Ovaj alat je primijenjen preko Powertrash učitavača i koristi se za učitavanje dodatnih modula na kompromitovanim sistemima. Diceloader upotreba omogućava FIN7 grupi da održi postojanost na inficiranim uređajima i proširi njihov pristup unutar mreže organizacije.

 

Core Impact

Core Impact je alatka za penetracijsko testiranje koja nudi biblioteku eksploatacija komercijalnog nivoa, omogućavajući korisnicima da testiraju bezbjednosne propuste u različitim sistemima. Ovaj alat generiše implantate nezavisnog kôda (eng. Position Independent Code – PIC) da preuzme kontrolu nad eksploatisanim sistemima i dobije pristup za dalje istraživanje ili eksfiltraciju podataka.

 

SSH-based Backdoor

Backdoor zasnovan na SSH protokolu je alatka za postojanost koju koristi FIN7 grupa za održavanje pristupa kompromitovanim sistemima. Postavlja Secure File Transfer Protocol – SFTP server kroz obrnuti SSH tunel, omogućavajući napadačima da krišom eksfiltriraju datoteke. Ovaj alat se obično koristi za upade koji imaju za cilj prikupljanje osjetljivih informacija. Backdoor je zasnovan na OpenSSH i 7zip alatima.

 

“Stalne FIN7 inovacije, posebno u njenim sofisticiranim tehnikama za izbjegavanje bezbjednosnih mjera, pokazuju njenu tehničku stručnost. Korištenje više pseudonima od strane grupe i saradnja sa drugim sajber kriminalnim entitetima čini pripisivanje izazovnijim i demonstrira njene napredne operativne strategije.”

– Antonio Cocomazzi, SentinelOne researcher –

 

ZAKLJUČAK

AvNeutralizer je moćna alatka koju je razvila FIN7 grupa koja omogućava napadačima da onemoguće antivirusne procese na kompromitovanim sistemima, što olakšava primjenu sadržaja zlonamjernog softvera i izvođenje ciljanih napada na organizacije širom sveta. Napredne mogućnosti alata, široka kompatibilnost sa različitim bezbjednosnim rješenjima krajnjih tačaka i prilagodljivost čine ga suštinskom komponentom u arsenalu svakog zlonamjernog aktera koji želi da izbjegne otkrivanje i maksimizira svoj uticaj na žrtve.

Upotreba AvNeutralizer od strane FIN7 grupe nije izolovan incident, pošto je nekoliko drugih zlonamjernih aktera takođe primijećeno da koriste slične taktike posljednjih mjeseci. Na primjer, grupa Hive ransomware je koristila prilagođenu Mimikatz verziju da bi zaobišla EDR rješenja i stekla upornost na kompromitovanim sistemima. Ransomware grupa REvil je koristila različite tehnike kao što je korišćenje legitimnih alata kao što su PsExec ili PowerShell skripte da bi izbjegla otkrivanje od strane bezbjednosnog softvera.

Pojava AvNeutralizer naglašava važnost implementacije višeslojnog pristupa u sajber odbrani, koji uključuje EDR rješenja zajedno sa drugim zaštitnim mjerama kao što su zaštitni zidovi, antivirusni softver i programi za edukaciju korisnika. Organizacije takođe treba da obezbijede da njihovi bezbjednosni alati budu ažurirani sa najnovijim obavještajnim podacima o prijetnjama i ispravkama kako bi se umanjile ranjivosti u njihovim sistemima.

Štaviše, za organizacije je ključno da investiraju u napredne mogućnosti otkrivanja prijetnji kao što su algoritmi mašinskog učenja i tehnike analize ponašanja kako bi efikasnije identifikovale anomalnu aktivnost na svojim mrežama. Ove tehnologije mogu pomoći u otkrivanju prijetnji koje mogu zaobići tradicionalne mjere bezbjednosti i pružiti vrijedan uvid u taktike, tehnike i procedure koje koriste sajber kriminalci.

 

ZAŠTITA

Da bi se zaštitile od zlonamjernog softvera AvNeutralizer, za organizacije je neophodno da primjene višeslojni pristup koji se bavi tehnikama korisničkog režima i režima jezgra koje koristi ova prijetnja. Evo nekoliko preporučenih koraka:

  1. Održavati operativni sistem, upravljački softver i aplikacije ažurnim najnovijim ispravkama i bezbjednosnim ažuriranjima. Ovo uključuje ažuriranje upravljačkog softvera Process Explorer (PED.sys) na verziju za koju se ne zna da je ranjiva,
  2. Koristiti renomirani antivirusni softver koji može da otkrije i blokira zlonamjerne sadržaje kao što je AvNeutralizer. Uvjeriti se da je antivirusno rješenje ispravno konfigurisano, sa omogućenom zaštitom u realnom vremenu i zakazanim redovnim skeniranjem,
  3. Implementirati softvera za detekciju i odgovor na prijetnje (EDR) za praćenje sumnjivih aktivnosti na sistemima. EDR alati mogu pomoći u otkrivanju i reagovanju na napredne prijetnje koje pokušavaju da izbjegnu tradicionalne mjere bezbjednosti,
  4. Koristiti smjernice za kontrolu aplikacija da da bi se ograničilo izvršavanje nepouzdanih ili nepoznatih aplikacija, posebno onih sa poznatim ranjivostima,
  5. Implementirati zaštitni zid zasnovan na hostu (eng. Host-Based Firewall – HBF) da bi se blokirao  saobraćaj sa i ka sumnjivim IP adresama ili portovima povezanim sa zlonamjernim komandnim i kontrolnim serverima,
  6. Koristiti jake lozinke za sve korisničke naloge, uključujući administrativne naloge, i omogućite autentifikaciju u više koraka gdje je to moguće. Ovo može pomoći u sprečavanju neovlaštenog pristupa sistemima,
  7. Obrazovati korisnike o rizicima otvaranja priloga elektronske pošte ili klikanja na veze iz nepoznatih izvora. Phishing napadi su uobičajeni vektor za isporuku zlonamjernog softvera kao što je AvNeutralizer,
  8. Primijeniti segmentaciju mreže i kontrolu pristupa da bi se ograničilo širenje prijetnji unutar mreža organizacije. Ovo može pomoći u suzbijanju infekcije ako se dogodi, smanjujući potencijalnu štetu,
  9. Redovno pregledati sistemske evidencije i podatke o događajima iz bezbjednosnih rješenja da bi se blagovremeno identifikovale sumnjive aktivnosti i pružio adekvatan odgovor na njih,
  10. Primjenjivati Plan odgovora na sajber prijetnju kako bi se smanjio uticaj uspješnog napada i osiguralo da se organizacija brzo oporavi. Ovo uključuje pravljenje rezervnih kopija kritičnih podataka, održavanje sistema za oporavak od katastrofe i redovno testiranje Plana odgovora na sajber prijetnju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.