Spyboy's Endpoint Protection Terminator: odkrywanie przyszłych zagrożeń dla społeczności cyberbezpieczeństwa
12Jul
Niedawno społecznością specjalistów ds. bezpieczeństwa informacji wstrząsnęła wiadomość o nowym narzędziu, które może z łatwością ominąć systemy ochrony punktów końcowych i wyłączyć ponad dwadzieścia rozwiązań cyberbezpieczeństwa, w tym takich gigantów jak McAfee i CrowdStrike. Ktoś o pseudonimie Spyboy na rosyjskim forum członków cyberprzestępców żądał 3000 dolarów za narzędzie (pierwszym 5 szczęśliwym klientom obiecano, że otrzymają je za połowę ceny). Oferowana cena była znacznie niższa niż potencjalne szkody, jakie narzędzie mogłoby wyrządzić, gdyby zostało użyte w "autoryzowanym penteście":
Wykorzystując podejście BYOVD (Bring Your Own Vulnerable Driver), narzędzie to ma rzekomo funkcjonalność wyłączania rozwiązań bezpieczeństwa przy użyciu uprawnień jądra.
Dalszy rozwój wydarzeń dodał pikanterii samemu faktowi istnienia takiego zestawu narzędzi. To intrygujące narzędzie nagle pojawiło się w wolnym dostępie na platformie GitHub. Repozytorium można znaleźć pod linkiem: https://github.com/ZeroMemoryEx/Terminator. Możemy się więc tylko domyślać, czy groźny aktor Spyboy ma jeszcze szansę na sprzedaż swojego oprogramowania, skoro każdy może pobrać kod za darmo. Potraktujmy to jako jedno z profesjonalnych zagrożeń.
Zespół Crowdstrike przetestował ten wątek i ogłosił, że CrowdStike Falcon EDR jest w stanie wykryć aktywność tych aktorów i zablokować ich działania*. Demo pokazujące, jak zaawansowana sztuczna inteligencja platformy Falcon może wyeliminować atak Spyboy, można obejrzeć na oficjalnym kanale Crowdstrike na YouTube**.
Ale co jest naprawdę niepokojące: narzędzia o podobnej funkcjonalności pojawiają się coraz częściej w domenie publicznej, dając znaczną przewagę atakującemu. Firmy korzystające nawet z najdroższych produktów AV/EDR/XDR i powiązanych z nimi "subskrypcji" nie mogą już całkowicie polegać na tego typu systemie ochrony informacji w celu wykrywania ataków wewnątrz sieci organizacji.
W takim przypadku znacznie wzrasta rola innych narzędzi zdolnych do wykrywania obecności atakującego w infrastrukturze firmy, takich jak systemy klasy deception. Oprócz bezpośredniego wykrywania ataków, systemy decepcji odwracają uwagę atakującego od rzeczywistych hostów/usług w sieci, dając tym samym więcej czasu zespołowi IS/SOC na analizę i reakcję.
Chcemy przypomnieć, że platfroma decepcji Labyrinth ma silną i niedawno ulepszoną integrację z Crowdstrike, która chroni użytkowników przed różnymi zagrożeniami, zapewniając wielopłaszczyznowy system cyberobrony, który może powstrzymać najbardziej wyrafinowane ataki.
Główny wniosek z faktu, że pojawiły się narzędzia do obchodzenia AV/EDR/XDR: nie można polegać tylko na jednej klasie rozwiązań do ochrony infrastruktury i zawsze należy używać kombinacji różnych rodzajów narzędzi, które wzajemnie się uzupełniają, aby zapewnić, że system jest dobrze chroniony i wysoce odporny na ataki.