Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διάφορα hacking εργαλεία για επιθέσεις στο διαδίκτυο με βάση τις αδυναμίες του εκάστοτε στόχου, ώστε να διεισδύσουν σε ευαίσθητα δεδομένα. Όλο και πιο συχνά τα εργαλεία αυτά γίνονται διαθέσιμα στο κοινό και χρησιμοποιούνται κυρίως από κακόβουλους χρήστeς για διάφορες επιθέσεις σε όλο τον κόσμο.
Σήμερα τα εργαλεία hacking είναι διαθέσιμα στον κυβερνοχώρο και παρέχουν πολλές διαφορετικές λειτουργίες που μπορούν να χρησιμοποιηθούν από οποιονδήποτε. Επίσης, αυτά τα εργαλεία χρησιμοποιούνται για να υποκλαπούν πληροφορίες σε ένα ευρύ φάσμα κρίσιμων τομέων, όπως η υγεία, η χρηματοδότηση, η άμυνα κυβερνήσεων και πολλοί άλλοι τομείς.
Kαθημερινά, οι κακόβουλοι παράγοντες εκπαιδεύονται σε νέες τεχνικές για να βρουν πρωτότυπους τρόπους να αναπτύξουν νέα εξελιγμένα εργαλεία ώστε να αποφύγουν τα συστήματα ασφαλείας.
Παρακάτω θα δούμε τα 5 κορυφαία εργαλεία hacking τα οποία είναι διαθέσιμα στο κοινό προς χρήση.
RAT – Trojan απομακρυσμένης πρόσβασης: JBiFrost
Η απομακρυσμένη πρόσβαση δίνει την δυνατότητα σε κυβερνοεγκληματίες που μπορούν να εκτελέσουν διάφορες κακόβουλες δραστηριότητες. Ειδικά το trojan απομακρυσμένης πρόσβασης JBiFrost (RAT), το οποίο είναι ένα από τα πιο ισχυρά Adwind RAT και δίνει πρόσβαση root στον εισβολέα.
Επίσης, περιέχει πολλές λειτουργίες και χρησιμοποιείται για την εγκατάσταση backdoors και keyloggers, λήψη screenshots και εξαγωγή δεδομένων.
Για να αποφευχθεί η ανάλυση του, απενεργοποιεί τα μέτρα ασφαλείας, όπως το Task Manager, και τα εργαλεία ανάλυσης δικτύου, όπως το Wireshark, στο σύστημα του θύματος.
Δυνατότητες
Το JBiFrost RAT είναι βασισμένο σε Java, cross-platform και πολυλειτουργικό. Αποτελεί απειλή για πολλά διαφορετικά λειτουργικά συστήματα, συμπεριλαμβανομένων των Windows, Linux, MAC OS X και Android.
Με βάση παλαιότερα αρχεία καταγραφών, έχει καταφέρει να αποσπάσει υλικό πνευματικής ιδιοκτησίας, τραπεζικά διαπιστευτήρια και προσωπικά στοιχεία ταυτότητας. Οι μηχανές που έχουν μολυνθεί με το JBiFrost μπορούν επίσης να χρησιμοποιηθούν σαν botnets για να πραγματοποιήσουν επιθέσεις Distributed Denial of Service (DDoS).
Κλοπή διαπιστευτηρίων εισόδου: Mimikatz
Κύριος στόχος αυτού του εργαλείου είναι η συλλογή των διαπιστευτηρίων άλλων χρηστών που έχουν συνδεθεί σε έναν στοχευμένο Η/Υ με λειτουργικό σύστημα Windows.
Το Mimikatz αποκτά πρόσβαση στα διαπιστευτήρια μέσα από μια διαδικασία των Windows που ονομάζεται “Υπηρεσία υποσυστήματος τοπικής ασφάλειας”. Αυτά τα διαπιστευτήρια, βρίσκονται είτε σε μορφή απλού κειμένου ή σε hashed form και μπορούν να επαναχρησιμοποιηθούν για να παρέχουν πρόσβαση σε άλλα μηχανήματα σε ένα δίκτυο.
Ο πηγαίος κώδικας του Mimikatz είναι διαθέσιμος στο κοινό και ο καθένας μπορεί να τον τροποποιήσει και να προσθέσει νέες λειτουργίες.
Πολλά χαρακτηριστικά του Mimikatz μπορούν να αυτοματοποιηθούν με την χρήση διαφόρων scripts μέσω PowerShell, επιτρέποντας στους επιτιθέμενους να εκμεταλλευτούν γρήγορα τις αδυναμίες ενός δικτύου.
Το China Chopper είναι ένα από τα ισχυρά hacking εργαλεία που θα βρείτε να κυκλοφορούν στο διαδίκτυο, διαθέτοντας ένα καλογραμμένο web shell το οποίο είναι διαθέσιμο στο κοινό μετά από την παραβίαση ενός host.
Οι κυβερνοεγκληματίες το χρησιμοποιούν για να μεταφορτώσουν τα κακόβουλα scripts σε έναν κεντρικό υπολογιστή μετά από μια παραβίαση, ώστε να προχωρήσουν σε μια απομακρυσμένη πρόσβαση ενός κακόβουλου παράγοντα.
Το web shell με την ονομασία China Chopper χρησιμοποιείται ευρέως από κακόβουλους φορείς για την απομακρυσμένη πρόσβαση σε παραβιασμένους διακομιστές του διαδικτύου, όπου παρέχεται διαχείριση εγγράφων και μητρώου, παράλληλα με την πρόσβαση εικονικού τερματικού στην παραβιασμένη συσκευή.
Ένα χαρακτηριστικό του China Chopper είναι ότι κάθε ενέργεια παράγει ένα HTTP POST action. Κάτι τέτοιο είναι εύκολα ανιχνεύσιμο από πολλά προγράμματα ασφάλειας.
Frameworks πλευρικής κίνησης: PowerShell Empire
Το PowerShell Empire βοηθάει τους επιτιθέμενους να αποκτήσουν πρόσβαση μετά την αρχική παραβίαση.
Το Empire μπορεί επίσης να χρησιμοποιηθεί για τη δημιουργία κακόβουλων scripts και εκτελέσιμων αρχείων για πρόσβαση μέσω social engineering στα δίκτυα.
Το PowerShell Empire σχεδιάστηκε ως ένα νόμιμο εργαλείο penetration testing το 2015. Λειτουργεί ως framework για συνεχή εκμετάλλευση όταν ένας εισβολέας έχει αποκτήσει πρόσβαση σε ένα σύστημα. Οι αρχικές μέθοδοι εκμετάλλευσης ποικίλλουν μεταξύ των παραβιάσεων και οι κακόβουλοι παράγοντες μπορούν να διαμορφώσουν το framework του Empire μοναδικά για κάθε σενάριο και στόχο.
Το Empire επιτρέπει σε έναν εισβολέα να εκτελέσει μια σειρά ενεργειών στη μηχανή ενός θύματος και παρέχει τη δυνατότητα εκτέλεσης ενεργειών PowerShell χωρίς να απαιτείται η χρήση του ‘powershell.exe’ στο σύστημα. Οι επικοινωνίες του είναι κρυπτογραφημένες και η αρχιτεκτονική του ευέλικτη.
Εργαλεία απόκρυψης: HTran
Τα εργαλεία απόκρυψης είναι πολύ σημαντικά και η χρήση τους είναι να κρατούν την ταυτότητα των εισβολέων μυστική ώστε να αποφύγουν την ανίχνευση. Υπάρχουν ορισμένα εργαλεία διατήρησης απορρήτου, όπως το TOR, ή και άλλα εργαλεία που μπορούν επίσης να αποκρύψουν την τοποθεσία τους.
“Το HUC (HTran) είναι ένα εργαλείο μεσολάβησης, το οποίο χρησιμοποιείται για την ανακατεύθυνση των συνδέσεων πρωτοκόλλου ελέγχου μετάδοσης (TCP) από τον τοπικό κεντρικό υπολογιστή σε έναν απομακρυσμένο κεντρικό υπολογιστή. Αυτό καθιστά δυνατή την απόκρυψη των επικοινωνιών ενός εισβολέα.”
Έχουν παρατηρηθεί πολλές διαφορετικές περιπτώσεις στον κυβερνοχώρο όπου κακόβουλοι παράγοντες χρησιμοποιούν το HTran και άλλα εργαλεία proxy συνδέσεων για:
- να αποφύγουν τα συστήματα εισβολής και ανίχνευσης σε ένα δίκτυο
- να αφομοιωθούν με το κανονικό traffic για να παρακάμψουν τους ελέγχους ασφάλειας
- να υπονομεύσουν ή να αποκρύψουν υποδομές ή επικοινωνίες
- να δημιουργήσουν υποδομές ομότιμης σύνδεσης (peer-to-peer) ή δικτύωσης C2 για να αποφύγουν την ανίχνευση και να παρέχουν σταθερές συνδέσεις
