Af Eskil Sørensen, 25/11/22
Et nyt udnyttelsesværktøj til kriminelle er sandsynligvis på trapperne. Det skriver The Hacker News på baggrund af rapport, som researchere hos sikkerhedsvirksomheden Proofpoint har skrevet, efter at kigget nærmere på et ny værktøj til penetrationstest, som egentlig er udviklet til Red Team-hackere.
Nyttigt værktøj
Værktøjet har navnet Nighthawk, som i parantes bemærket også er navnet på en routerserie fra Netgear, og det anses for at kunne været et supplement til det, som Cobalt Strike har vist sig til at være: Et nyttigt værktøj for cyberkriminelle.
Den første observation af det, man kan vise sig at være uvederhæftig brug af værktøjet, blev set i midten af september i år, hvor adskillige test-e-mails blev sendt ved hjælp af generiske emner som 'Just checking in' and 'Hope this works2.' I løbet af et par uger blev der sendt e-mails med ondsindede URL'er, som, hvis de blev klikket på, ville føre til en ISO-fil, der indeholdt Nighthawk payload som en PE32+ eksekverbar fil.
Researcherne ved Proofpoint har så ved at kigge nærmere på filerne været i stand til at identificere den leverede payload som Nighthawks penetrationstestværktøj. Dette baseret på open source-research, herunder MDSecs blog om den seneste version af selve værktøjet.
Men der er altså tale om en krypteret Nighthawk payload, en C++-baseret DLL, der bruger flere forskellige funktioner mhp. at modvirke opdagelse og flyve under radaren.
Særligt bemærkelsesværdigt, skriver The hacker News, er de mekanismer, der kan forhindre endpoints i at opdage og blive advaret om nyligt indlæste DLL'er i den aktuelle proces. Det sker ved at implementere ’en selvkrypteringstilstand’ og derved undgår scanninger i proceshukommelsen.
Tveægget sværd
Nighthawk er oprindeligt udviklet til at være et avanceret, kommercielt C2-værktøj til legitime Red Team-operationer. Det er naturligt nok specielt bygget til at undgå opdagelse, og det gør det efter The Hacker News’ opfattelse godt. Men det i sig selv gør også værktøjet attraktivt for trusselsaktører.
Researcherne ved Proofpoint har ikke set nogen egentlig illegitim udnyttelse af Nighthawk 'in the wild' af trusselsaktører. Men det anses af researcherne for at være ’forkert og farligt’ at antage, at værktøjet ikke vil blive anvendt af trusselsaktører til at opfylde det formål, de nu måtte have.
Uanset hvad: Endnu engang kan det vise sig, at værktøj udviklet til gode formål kan anvendes til slette.
Links:
https://thehackernews.com/2022/11/nighthawk-likely-to-become-hackers-new.html