«Лаборатория Касперского» нашла способ выявить «невидимый» фреймворк Mythic
NewsMakerЭксперты описали сетевые признаки хакерского инструмента.
Специалисты «Лаборатории Касперского» опубликовали подробное исследование о том, как выявлять в корпоративных сетях присутствие Mythic — одного из самых популярных инструментов, которым пользуются злоумышленники для управления заражёнными компьютерами.
Mythic относится к так называемым фреймворкам постэксплуатации. Это платформы, позволяющие атакующим контролировать уже взломанные системы и постепенно расширять своё присутствие внутри организации. Если раньше хакеры предпочитали закрытые коммерческие решения вроде Cobalt Strike, то в последние годы всё большую популярность приобретают проекты с открытым исходным кодом — Mythic, Sliver, Havoc. Их активно применяют в том числе APT-группировки, атакующие российские компании.
Исследователи отмечают интересную закономерность: разработчики подобных инструментов сосредоточены на обходе антивирусов и систем защиты конечных точек, но уделяют куда меньше внимания маскировке сетевой активности. Между тем вредоносным агентам неизбежно приходится связываться с управляющими серверами, и эту коммуникацию можно отследить.
Mythic поддерживает множество способов связи: протоколы HTTP, WebSocket, TCP, SMB, DNS и даже MQTT. Более того, агенты могут прятать свой трафик, используя в качестве посредников популярные сервисы — Discord и GitHub. В этом случае команды и результаты их выполнения маскируются под обычные сообщения и комментарии, что делает активность практически неотличимой от легитимной.
Специалисты «Лаборатории Касперского» опубликовали подробное исследование о том, как выявлять в корпоративных сетях присутствие Mythic — одного из самых популярных инструментов, которым пользуются злоумышленники для управления заражёнными компьютерами.
Mythic относится к так называемым фреймворкам постэксплуатации. Это платформы, позволяющие атакующим контролировать уже взломанные системы и постепенно расширять своё присутствие внутри организации. Если раньше хакеры предпочитали закрытые коммерческие решения вроде Cobalt Strike, то в последние годы всё большую популярность приобретают проекты с открытым исходным кодом — Mythic, Sliver, Havoc. Их активно применяют в том числе APT-группировки, атакующие российские компании.
Исследователи отмечают интересную закономерность: разработчики подобных инструментов сосредоточены на обходе антивирусов и систем защиты конечных точек, но уделяют куда меньше внимания маскировке сетевой активности. Между тем вредоносным агентам неизбежно приходится связываться с управляющими серверами, и эту коммуникацию можно отследить.
Mythic поддерживает множество способов связи: протоколы HTTP, WebSocket, TCP, SMB, DNS и даже MQTT. Более того, агенты могут прятать свой трафик, используя в качестве посредников популярные сервисы — Discord и GitHub. В этом случае команды и результаты их выполнения маскируются под обычные сообщения и комментарии, что делает активность практически неотличимой от легитимной.