Согласно новым данным Центра киберзащиты Ontinue, легитимный инструмент мониторинга серверов с открытым исходным кодом был перепрофилирован злоумышленниками для получения полного контроля над скомпрометированными системами. Речь идёт о широко распространённой платформе Nezha, предоставляющей администраторам информацию и возможности дистанционного управления в средах Windows и Linux.
В связи с тем, что данный сервис применяется как ПО удалённого доступа после взлома (а не как вредонос) и активно поддерживается, 72 поставщика ИБ-решений не выявило ничего подозрительного при проверке на VirusTotal. Агент устанавливается незаметно и становится видимым только тогда, когда киберпреступники начинают отдавать команды, что делает традиционное обнаружение затруднительным.
«Вепонизация Nezha отражает новую стратегию атаки, в рамках которой хакеры систематически используют легитимный софт для обеспечения устойчивости и горизонтального перемещения, обходя при этом средства защиты на основе сигнатур. В сетях группы защиты могут даже не заметить эту аномальную активность», — заявил менеджер по исследованиям в области безопасности в Qualys Маюреш Дани.
Nezha изначально разрабатывалась для китайского ИТ-сообщества и собрала почти 10 тысяч звезд на GitHub. Её архитектура основана на центральной панели управления, которая контролирует легковесные агенты. Они, в свою очередь, поддерживают выполнение команд, передачу файлов и интерактивные терминальные сессии — возможности, полезные для администраторов, но столь же привлекательные для преступников.
В ходе контролируемого тестирования эксперты Ontinue убедились, что агент Nezha по своей сути работает с повышенными привилегиями. В системах Windows он предоставлял интерактивный сеанс PowerShell от имени NT AUTHORITY/SYSTEM, а в системах Linux — доступ с правами root. Эксплуатация уязвимости или повышение привилегий не потребовались.
С помощью этого ПО злоумышленники могут сократить время разработки для надёжного выполнения удалённых команд, а также получения доступа к файлам и скомпрометированной системе с помощью интерактивных оболочек. «Мы должны перестать рассматривать инструменты как либо вредоносные, либо безобидные, и вместо этого сосредоточиться на моделях использования и контексте»,— отметил Дани.
Усам Оздемиров
