Splinter: когда инструмент безопасности становится угрозой

Неизвестный инструмент угрожает корпоративным сетям.


ovkejk05tmw1wvdy79jod9k5hwszgy4c.jpg


Компания Palo Alto Networks обнаружила новый инструмент для пост-эксплуатации под названием Splinter, который был найден на системах клиентов с помощью инструментов для сканирования памяти Advanced WildFire. Такие инструменты, как Splinter, часто используются для проверки сетевой безопасности компаний, но при попадании в руки злоумышленников могут представлять серьёзную угрозу. Это подчёркивает важность непрерывного мониторинга и обнаружения подобных угроз.

Splinter представляет собой инструмент, разработанный с использованием языка программирования Rust. Хотя Rust обычно используется для создания безопасных в плане памяти программ, высокая плотность кода затрудняет анализ. Найденные образцы Splinter достигали 7 МБ из-за использования большого количества внешних библиотек. Splinter использует конфигурационные файлы в формате JSON, содержащие данные о целевой системе и командном сервере, к которому подключается инструмент для выполнения различных задач, таких как удалённое выполнение команд, передача файлов и сбор данных.

Инструмент был обнаружен на нескольких клиентских системах, но пока нет свидетельств о его использовании злоумышленниками. Splinter предлагает стандартный набор функций для подобных инструментов, таких как выполнение команд и внедрение процессов. Хотя он не так продвинут, как более известные инструменты, такие как Cobalt Strike, его возможности представляют угрозу для организаций при неправильном использовании.

Palo Alto Networks улучшила защиту своих клиентов от этой угрозы с помощью обновлений Advanced WildFire, Cortex XDR и XSIAM, которые помогают обнаруживать и блокировать известные образцы и отслеживать пост-эксплуатационную активность.

Это открытие подчёркивает рост числа инструментов для проведения атак, что усложняет защиту корпоративных сетей. Организациям рекомендуется поддерживать свои системы безопасности в актуальном состоянии и регулярно обновлять методы обнаружения угроз.