24.5 C
Brasília
terça-feira, novembro 26, 2024
Continua após a publicidade..

Desenvolvedor de ferramentas Red Team critica divulgação 'irresponsável'

A empresa de segurança do Reino Unido MDSec defende seu comando Nighthawk e estrutura de teste de penetração de controle depois que foram feitas sugestões de que ela poderia ser apropriada por agentes de ameaças

Alex Scroxton

Continua após a publicidade..

Consultoria de segurança cibernética do Reino Unido e teste de penetração especialista MDS ec defendeu sua estrutura comercial Nighthawk e criticou o que descreveu como uma divulgação “irresponsável” depois que pesquisadores da

Proofpoint avisado que a ferramenta corre o risco de ser cooptada para uso generalizado no submundo do crime cibernético, como aconteceu com o Cobalt Strike e outros, como Sliver e Bruto Ratel.

Como Cobalt Strike, Nighthawk é uma estrutura legítima de comando e controle (C2) usada para testes de penetração de equipe vermelha, e é vendido através de licenciamento comercial.

    Foi desenvolvido internamente na MDSec, com sede em Cheshire, que é credenciada pela autoridade técnica CESG do governo do Reino Unido para oferecer serviços cibernéticos a órgãos governamentais e possui vários outros crachás de empresas como Crest e National Cyber ​​Security Centro.

      MDSec liberado Nighthawk em 2021 , descrevendo-o como “a estrutura C2 mais avançada e evasiva disponível no mercado… um implante altamente maleável projetado para contornar e evadir os modernos controles de segurança frequentemente vistos em ambientes maduros e altamente monitorados”.

      No entanto, a Proofpoint diz que em setembro de 2022, seus sistemas detectaram a entrega inicial da estrutura Nighthawk como um trojan de acesso remoto (RATO). Seus sistemas detectaram vários e-mails de teste sendo enviados com linhas de assunto genéricas, incluindo “Apenas verificando” e “Espero que funcione2”, contendo links que, quando clicados, levavam a um arquivo ISO contendo a carga útil do carregador Nighthawk como um executável.

      Disse que esta distribuição de Nighthawk parece ter ocorrido como parte de um genuíno vermelho exercício de formação de equipe e os e-mails e links dentro deles apenas pareciam ser maliciosos.

        A Proofpoint enfatizou ainda que não tomou conhecimento de nenhuma versão vazada do Nighthawk sendo adotada por qualquer agente de ameaça atribuído, mas disse que seria “incorreto e perigoso” presumir que não seria apropriado como tal.

          “Os fornecedores de detecção, em particular, devem garantir a cobertura adequada desta ferramenta como versões crackeadas de estruturas de pós-exploração eficazes e flexíveis podem aparecer nos cantos escuros da Internet quando uma ameaça age ors estão procurando uma nova ferramenta ou a ferramenta atingiu uma certa prevalência”, disse a equipe.

            Existem muitas razões pelas quais os agentes de ameaças se apropriam de ferramentas legítimas em seus arsenais. Eles podem tornar mais difícil para defensores ou pesquisadores atribuir grupos de atividade e geralmente contêm recursos específicos, como evasão de detecção de endpoint. No caso do Nighthawk, os pesquisadores acreditam que são os recursos avançados do produto, particularmente sua extensa lista de técnicas de evasão configuráveis, que podem torná-lo excepcionalmente atraente para agentes mal-intencionados daqui para frente.

            “Ferramentas legítimas, como a estrutura de teste de penetração Nighthawk, são as favoritas de todos os tempos dos agentes de ameaças de vários níveis de habilidade e motivações,” disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint.

              “Eles podem complicar a atribuição, tornar mais fácil evitar a detecção de endpoints e, em geral, tornar os trabalhos dos pesquisadores de segurança mais difíceis do que já são. A comunidade em geral precisa de todas as vantagens possíveis para se preparar para a próxima ameaça em potencial e isso significa mergulhar fundo até mesmo nas ferramentas criadas com a melhor das intenções.”

              O diretor do MDSec, Dominic Chell, disse à Computer Weekly: “Não temos conhecimento de nenhum caso de Nighthawk sendo usado para atividades ilegítimas, nem temos nenhuma evidência foram produzidos para apoiar esta teoria. Levamos muito a sério nosso papel como exportador de software de intrusão e aplicamos uma verificação rigorosa a qualquer empresa que deseje comprar o software.”

              A Computer Weekly também entende que o MDSec possui uma série de medidas para controlar a distribuição e rastrear como e onde a estrutura Nighthawk está sendo usada, embora os detalhes técnicos completos deles não possam ser divulgados por motivos de segurança.

Check out other tags:

0