Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r. – część 6: Wykrywanie zagrożeń w punktach końcowych

Aby wykorzystać słabe punkty obrony, przeciwnicy wykorzystują również luki w zabezpieczeniach punktów końcowych w celu kradzieży danych uwierzytelniających, ułatwienia ruchu bocznego i zapewnienia trwałości. Raport z 2025 r. podkreśla, w jaki sposób grupy wykorzystują zaawansowane techniki do naruszania systemów Linux i unikania wykrycia.

Studium przypadku:

Jednym z najbardziej godnych uwagi odkryć jest wykorzystanie przez GLACIAL PANDA trojana ShieldSlide, czyli złośliwego pliku binarnego Open SSH:

- Wdrażanego na zainfekowanych hostach Linux

- Rejestruje sesje uwierzytelniania użytkowników w celu pozyskania danych uwierzytelniających

- Zapewnia dostęp przez tylne drzwi, umożliwiając atakującym uwierzytelnianie się jako dowolne konto, w tym root, gdy używane jest zakodowane na stałe hasło

Chociaż ShieldSlide wydaje się niemal identyczny z legalnymi plikami binarnymi OpenSSH, niewielkie modyfikacje w kodzie źródłowym rejestrują dane uwierzytelniające i wspierają ukrytą trwałość.

Obserwacje punktów końcowych

Raport podkreśla, że skuteczne wykrywanie punktów końcowych wymaga wyjścia poza sygnatury złośliwego oprogramowania i zwrócenia uwagi na anomalie behawioralne:

- Wykrywanie plików binarnych o niskiej częstotliwości występowania, które nie pasują do standardowych kompilacji systemu

- Monitorowanie anomalii logowania związanych z trojanizowanymi narzędziami uwierzytelniającymi

- Korelowanie telemetrii punktów końcowych z danymi tożsamościowymi lub danymi w chmurze w celu śledzenia punktów zwrotnych

- Przeciwnicy często stosują techniki „życia z ziemi” w punktach końcowych — nadużywając wbudowanych narzędzi systemu Linux i Windows, aby uniknąć wykrycia.

Punkty końcowe nadal odgrywają kluczową rolę w działaniach przeciwników. Doskonałym przykładem jest sprawa ShieldSlide. Atakujący mogą subtelnie modyfikować zaufane pliki binarne w celu zebrania hasztag#credentials i utworzenia backdoorów. Dla obrońców poszukiwanie punktów końcowych oznacza przyjęcie podejścia kryminalistycznego: poszukiwanie anomalii, które w izolacji wydają się nieszkodliwe, ale po skorelowaniu między domenami sygnalizują naruszenie bezpieczeństwa.

Autor: Sebastian Burgemejster