Kako kibernetski kriminalci izkoriščajo legitimne internetne storitve v zlonamerne namene

Kibernetski kriminalci vse pogosteje uporabljajo ugledne platforme, kot so Google Drive, OneDrive, Notion in GitHub, da bi svoje zlonamerne dejavnosti prikrili v običajnem spletnem prometu. Ta taktika ne le povečuje njihove zmožnosti kraje podatkov, temveč tudi spodkopava običajne varnostne ukrepe.

Trend izkoriščanja teh zaupanja vrednih platform (imenujemo jih tudi LIS – Legitimne internetne storitve) je v porastu, pri čemer so elitne skupine za kibernetske grožnje vodilne, manjše skupine pa hitro prevzemajo podobne strategije. Ta premik poudarja pomen nenehnega prilagajanja obrambne strategije, ki je v koraku s temi spreminjajočimi se grožnjami.

Ključni vpogledi

  • Glavni krivci so infostealerji, ki želijo pridobiti podatke, saj jih 37 % izkorišča te storitve. Njihova prednost verjetno izhaja iz njihovega primarnega cilja pridobivanja podatkov v povezavi z enostavnostjo vzpostavitve teh platform, zlasti za operaterje z omejenim tehničnim znanjem.
  • Različne vrste zlonamerne programske opreme izberejo svojo infrastrukturo glede na svojo kategorijo. Na primer, medtem ko 72 % infostealerjev uporablja te platforme za ekstrakcijo podatkov, jih 71 % nalagalnikov uporablja za dostavo plačilnega bremena.
  • Med vsemi platformami so najbolj zlorabljene storitve shranjevanja v oblaku, kot je Google Drive, sledijo aplikacije za sporočanje, e-poštne storitve in platforme družabnih medijev.
  • Telegram se izkaže kot platforma za sporočanje, ki jo zlonamerna programska oprema najbolj izkorišča, pri čemer so glavni krivci iskalci informacij.

Leta 2023 se je pogosto zgodilo, da so kibernetski kriminalci izkoriščali legitimne spletne platforme, kot so Telegram, GitHub ali OneDrive, za svojo infrastrukturo za poveljevanje in nadzor. Ta strategija ne preprečuje le doslednega zapiranja njihovih domen in strežnikov, temveč jim tudi pomaga, da se zlijejo z običajnim prometom. To pomeni, da morajo varnostne ekipe zdaj spremljati ne le zlonamerne dejavnosti, temveč tudi morebitno zlorabo legitimnih platform.

Prednosti za kibernetske kriminalce

Uporaba teh platform ima za kibernetske kriminalce več prednosti:

  • Poenostavljeni postopki za namestitev strežnika.
  • Prihranki pri stroških gostovanja in registracije.
  • Izboljšana varnost delovanja.
  • Visok čas delovanja in zanesljivost.
  • Enostavni postopki registracije z omejenimi možnostmi odkrivanja.

Vendar te prednosti predstavljajo izziv za varnostne ekipe:

  • Težave pri blokiranju komunikacij zaradi razširjene zakonite uporabe.
  • Izzivi pri odkrivanju šifriranih komunikacij.
  • Tveganje lažno pozitivnih rezultatov pri blokiranju široko uporabljenih storitev.
  • Sledenje in pripisovanje dejavnosti groženj postane bolj zapleteno.

Analiza infrastrukturnih taktik LIS

Napadalci so razvili različne metode za izkoriščanje infrastrukture LIS, ki jih lahko na splošno razvrstimo v štiri osnovne strategije. Te strategije se sicer razlikujejo, vendar se včasih prekrivajo v svojih funkcijah in jih je mogoče kombinirati na različne načine.

1. Celostna komunikacija C2

Pri tej metodi ni neposredne komunikacije med napadalcem in zlonamerno programsko opremo. Namesto tega uporabljajo posrednika, ki se pogosto imenuje “abstraktna plast”. V ta namen pogosto služijo platforme, kot sta GitHub ali Mastodon. V bistvu lahko kot posrednik deluje vsaka storitev z odprtim vmesnikom API, ki omogoča programsko branje in pisanje podatkov.

2. Dead Drop strategija

Ta strategija, pogosto skrajšano imenovana DDR, vključuje zlonamerno programsko opremo, ki je programirana tako, da svoje dejanske podatke o strežniku C2 pridobi iz spletne storitve. Izraz “Dead Drop” je izposojen iz vohunskih praks, kjer agent diskretno pusti informacije na skritem mestu. Čeprav so včasih podrobnosti o strežnikih C2 (kot so naslovi IP ali domene) javno dostopne (na primer Vidarjevi podatki o C2 v profilih Mastodon), napadalci pogosto uporabljajo šifriranje, kodiranje ali steganografijo, da bi otežili odkrivanje. Za razliko od celovite metode C2 zlonamerna programska oprema neposredno komunicira s strežnikom C2, ko pridobi potrebne podrobnosti. V ta namen se pogosto uporabljajo platforme, ki omogočajo dostop do podatkov, kot sta YouTube ali Steam Community.

3. Porazdelitev koristnega bremena

Napadalci izkoriščajo sistem LIS za distribucijo zlonamernih koristnih bremen. Glede na to, da so te storitve platforme, na katerih je mogoče deliti in shranjevati podatke, vključno z besedilom in binarnimi datotekami, so zaradi široke uporabe in enostavnega dostopa glavne tarče. V ta namen se lahko uporabi vsaka platforma, ki omogoča dostop do podatkov. Na primer, Pastebin se lahko uporabi za pridobivanje kodiranih podatkov, Google Drive za shranjevanje šifriranih koristnih bremen ali Discord za distribucijo določene zlonamerne programske opreme, kot je WhisperGate wiper.

4. Izsiljevanje podatkov

LIS se lahko uporablja tudi za izsesavanje podatkov. Za to je mogoče izkoristiti vsako storitev, ki omogoča zapisovanje ali pošiljanje podatkov. To vključuje platforme z odprtimi API-ji, kot je metoda, pri kateri Snake Keylogger uporablja Telegram Bot API, ali e-poštne storitve, kot je razvidno, ko Darkstealer pošilja podatke prek SMTP. Pomembno je, da lahko kampanje izsiljevalske programske opreme, tudi če jih zlonamerna programska oprema ne izkorišča neposredno, za izsiljevanje podatkov uporabljajo legitimne platforme za shranjevanje v oblaku, kot sta mega.io ali MegaSync.

Infostealerji vodijo pri izkoriščanju LIS med vrstami zlonamerne programske opreme

Na podlagi podatkov za obdobje od leta 2021 do 2022 je razvidno, da velik del družin zlonamerne programske opreme uporablja LIS kot del svoje infrastrukture. Med različnimi kategorijami zlonamerne programske opreme so pri zlorabi LIS opazno bolj razširjeni infostealerji. Po drugi strani pa kategorije, kot so mobilna zlonamerna programska oprema, RAT/zaščitna vrata in nalagalniki/odstranjevalniki, manj pogosto izkoriščajo LIS.

Več dejavnikov lahko pojasni, zakaj so infostealerji v primerjavi z drugimi vrstami zlonamerne programske opreme bolj nagnjeni k zlorabi zakonitih storitev. Predvsem imajo infostealerji ključno vlogo v nenehno razvijajočem se okolju kibernetskega kriminala, saj so pogosto v ospredju inovativnih taktik. Njihov glavni cilj je iznos podatkov, kar je v nasprotju s funkcionalnostmi, kot so trojanski konji za oddaljen dostop (RAT). To pomeni, da imajo infostealerji običajno preprostejše infrastrukturne potrebe, ki jih je mogoče zadovoljiti z uporabo javno dostopnih vmesnikov API. Poleg tega se številni infostealerji tržijo na platformah temnega spleta posameznikom, ki morda niso tehnično podkovani, kar poudarja pomen enostavne vzpostavitve infrastrukture.

Več družin zlonamerne programske opreme, ki izkoriščajo zakonite storitve, pogosto zlorablja več sistemov LIS za različne namene. MoqHao je na primer prek DDR pridobival podatke C2 iz uporabniških profilov na platformah, kot so Imgur, Baidu, VKontakte (VK), Rotten Tomatoes, Live Journal in Pinterest. Podobno je bil Vidar za namene DDR povezan s platformami, kot so TikTok, Mastodon, Telegram, Tumblr in Steam Community. PrivateLoader pa je za namene DDR uporabljal Pastebin in nato Discord ali VK za končne faze distribucije koristnega bremena.

Platforme za shranjevanje v oblaku vodijo pri zlorabah LIS, prevladuje Pastebin

Med različnimi kategorijami LIS so platforme za shranjevanje v oblaku, kot je Google Drive, glavna tarča zlorab, saj jih po naših podatkih izkorišča 43 družin zlonamerne programske opreme. Sledijo jim aplikacije za sporočanje, ki jih izkorišča 30 družin zlonamerne programske opreme, nato e-poštne storitve (14) in platforme družbenih medijev (13). Velik nabor storitev, ki jih ponujajo ponudniki shranjevanja v oblaku, njihova nemotena vključitev v korporativna okolja za resnično uporabo in enostavnost njihove uporabe so verjetno glavni razlogi za njihovo razširjeno zlorabo.

Če se poglobimo v kategorijo shranjevanja v oblaku, je najbolj izkoriščena storitev Pastebin. Opazno je, da je polovica teh primerov povezana s programi RAT in zakulisnimi vrati. V večini scenarijev se Pastebin uporablja za DDR ali dostavo koristnih bremen. Čeprav paste[.]ee ponuja podobne storitve kot Pastebin, je bil označen v bistveno manj primerih. Za Pastebinom sledita Google Drive in Dropbox. Google Drive je bil označen v scenarijih, kot so operacije C2 v celoti (npr. z GIMMICK) in dostavljanje koristnega tovora (kot z GuLoader). Nasprotno pa se Dropbox uporablja predvsem za odtekanje podatkov, kot je razvidno iz zapornih vrat DropBook podjetja Molerats. Kljub temu se uporablja tudi za komunikacijo C2 in dostavo koristnega tovora, kot je razvidno iz dejavnosti NOBELIUM/BlueBravo.

Telegram na vrhu seznama zlorabljenih aplikacij za pošiljanje sporočil

Po natančnem pregledu aplikacij za sporočanje, ki se uvrščajo na drugo mesto najpogosteje zlorabljenih kategorij LIS, je jasno, da Telegram vodi. Sledi Discord. Obe platformi sta brezplačni, priljubljeni med potencialnimi žrtvami in skupnostjo kibernetskega kriminala, zahtevni za omejevanje, njuni vmesniki API pa so uporabniku izjemno prijazni. Firebase Cloud Messaging izstopa z omejenimi primeri zlorab, kot je Donotov Firestarter. Po naših podatkih se storitev Slack izkorišča predvsem z orodji, ki so jih razvili varnostni strokovnjaki, kot je Slackor. Vendar pa druge študije kažejo, da so skupine APT, vključno s skupino APT29, zlorabile program Slack.

Zlasti pomemben delež primerov, ki vključujejo programa Telegram in Discord, je povezan s programi za krajo informacij. Le redki so primeri, ko osebe, ki ne kradejo informacij, uporabljajo Telegram ali Discord za zlonamerne namene. Na primer, program PrivateLoader je do sredine leta 2022 uporabljal Discord za končno dostavo plačilnega bremena, prej omenjena zloraba Discorda v napadih WhisperGate, katerih tarča je bila Ukrajina. Razlog, zakaj druge vrste zlonamerne programske opreme ne izkoriščajo Telegram in Discord v tolikšni meri, ostaja negotov. Vendar pa se domneva, da ti platformi še posebej ustrezata infostealerjem zaradi svojih enostavnih funkcij eksfiltracije podatkov.

Platforme družabnih omrežij: Vroča točka za zlorabo C2

Platforme družabnih omrežij se uvrščajo med najpogostejše vrste LIS, ki so izpostavljene zlorabi, in so na četrtem mestu po pogostosti. Raznolikost v tej kategoriji je očitna, saj so opazili številne različne storitve. Najpogosteje zlorabljeni platformi sta Steam Community in YouTube. Eden od razlogov za pogostejšo zlorabo skupnosti Steam je morda popustljivo stališče njenega matičnega podjetja Valve glede odstranjevanja vsebine. Kot so zapisali v Emerging Threats, se je platforma Steam Community, ko je bila obveščena o načinu distribucije C2, povezanem z Vidarjem, odločila, da je vrednost omogočanja uporabnikom, da delijo informacije prek svojih profilov, pomembnejša od obravnavanja potencialno zlorabljenih računov.

Priporočila

Kratkoročno naj varnostne ekipe spremljajo ali omejujejo zakonite internetne storitve, ki niso bistvene za njihovo delovanje, vendar je znano, da se izkoriščajo v zlonamerne namene. Pri dolgoročni strategiji bi se morala podjetja osredotočiti na razumevanje zakonite uporabe teh storitev s strani svojih zaposlenih in možnosti zlorabe. To razumevanje bo utrlo pot bolj izpopolnjenim sistemom za odkrivanje, s čimer se bo povečala splošna organizacijska varnost. Poleg tega postajajo pomembnejše tehnologije, kot je prestrezanje omrežja TLS, ki omogočajo boljšo vidljivost ter prinašajo nove izzive glede zasebnosti in skladnosti.

Če povzamemo:

  • Ocenite in blokirajte nenujne spletne storitve.
  • Spremljajte uporabo določenih storitev in razumite njihov kontekst.
  • Izvedite napredne mehanizme za odkrivanje.
  • Začnite s proaktivnim iskanjem groženj.
  • Simulirajte napade za oceno zmogljivosti odkrivanja.
  • Sodelujte s ponudniki spletnih storitev pri preprečevanju zlonamernih dejavnosti.