Скрипт-кіді, які легко обходять ваші заходи безпеки

Організації щорічно інвестують мільйони в дорогі засоби кібербезпеки, проте все одно існують прості атаки, які можуть використовувати навіть найменші хакери для обходу багатьох з найкращих заходів безпеки в галузі.

Сьогодні ми зосередимося на одному з таких методів: кодування Base64 для маскування шкідливих файлів.

Що таке кодування Base64?

Кодування Base64 часто використовується для кодування бінарних даних в ASCII текст.

Це дозволяє транспортувати бінарні дані через системи, розроблені для обробки простого тексту, які не можуть обробляти бінарні формати. По суті, Base64 перетворює бінарні дані в текстовий формат, що дозволяє їх передавати.

Base64 для зловмисних дій

Хакери часто використовують кодування Base64 для передачі текстових файлів з зашифрованими шкідливими файлами або зловмисними командами.

Вони використовують Base64 для:

  1. Уникнення виявлення: Це приховує зловмисні команди\файли від засобів безпеки.

  2. Маскування: Хакери використовують кодування Base64 для маскування команд, що передаються між скомпрометованими системами та їх серверами команд і контролю.

  3. Кодування чутливих даних: Base64 часто використовується для кодування чутливих відомостей, таких як облікові дані або токени, і хакери використовують це для обходу деяких засобів контролю DLP.

  4. Обхід фільтрів вмісту: Деякі фільтри безпеки можуть блокувати конкретні ключові слова або шаблони. Кодування команд у Base64 допомагає обійти ці фільтри.

Чи може антивірусне програмне забезпечення заблокувати відомий шкідливий файл, коли він закодований як Base64?

Антивірусне програмне забезпечення має труднощі з виявленням шкідливих файлів, закодованих у Base64. Хоча деякі передові антивірусні рішення здатні декодувати рядки Base64 і аналізувати основний вміст на наявність шкідливих підписів, багато традиційних рішень не здатні ефективно обробляти таке маскування.

Більшість антивірусних або Endpoint Detection and Response (EDR) рішень, які успішно блокують шкідливі файли Base64, роблять це тому, що вони включили підпис Base64 у свої антивірусні двигуни.

Це означає, що антивірусні або EDR рішення не покладаються на декодований вміст, а додають вручну деякі закодовані методи шкідливого файлу в свої двигуни.

Виклики виявлення закодованих загроз

Антивірусні рішення, які сильно залежать від виявлення на основі підписів, часто пропускають нові варіанти шкідливих програм, що маскуються за допомогою кодування Base64. Крім того, тактики соціальної інженерії часто успішно використовуються для доставки Base64-кодованих payload до не підозрюваних кінцевих користувачів.

Інші виклики, що ускладнюють виявлення загроз, закодованих у Base64, включають:

  • Кодування Payload у кількох файлах: Атакувальники можуть розділяти payload на кілька файлів і збирати їх локально, уникаючи виявлення.
  • Поліморфні шкідливі програми: Шкідливе програмне забезпечення, яке обминає статичні бази підписів, часто змінюючи свою зовнішність.
  • Вставка додаткових пробілів або символів: Намірене додавання додаткових пробілів або символів для корупції підпису та уникнення виявлення.
  • Незвичайні типи файлів: Використання рідкісних типів файлів, які традиційні антивірусні програми рідко перевіряють.

Ви можете перевірити це, завантаживши шкідливий файл на VirusTotal і Base64 закодовану версію цього файлу (використовуючи один з безкоштовних інструментів кодування/декодування Base64 в Інтернеті) і порівняти результати виявлення шкідливих файлів.

Висновок

Кодування Base64 — це простий, але ефективний метод маскування шкідливих файлів, що дозволяє хакерам обходити багато з найкращих заходів кібербезпеки в галузі.

Оскільки організації продовжують активно інвестувати в передові заходи безпеки, надзвичайно важливо постійно оновлювати і вдосконалювати механізми виявлення для боротьби з еволюціонуючими загрозами.

Розуміння обмежень антивірусних рішень і визнання методів, що використовуються атакувальниками, може допомогти зміцнити кібербезпеку вашої організації.

Дякую, що прочитали мою статтю. Якщо вам сподобалося і ви хочете залишатися на зв'язку, підписуйтеся на мене в Medium, підключайтеся до мене в LinkedIn, або надсилайте мені електронний лист на [email protected].

Перекладено з: The Script Kiddies that Easily Bypass Your Security Controls

Вам також може сподобатися

Що таке найкращі практики веб-дизайну при використанні Microthemer?
Комплексний розвиток професійних та особистих життєвих навичок
Файл стану Terraform

Leave a Reply

Your email address will not be published. Required fields are marked *