Cybersecurity-onderzoekers hebben de ontdekking van een nieuwe post-exploitatie red team tool genaamd Splinter in het wild.
Palo Alto Networks Unit 42 maakte haar bevindingen bekend nadat het het programma op de systemen van verschillende klanten had ontdekt.
“Het heeft een standaardset van functies die je vaak tegenkomt in penetratietesttools en de ontwikkelaar heeft het gemaakt met de programmeertaal Rust,” aldus Dominik Reichel van Unit 42. “Hoewel Splinter niet zo geavanceerd is als andere bekende post-exploitatietools zoals Cobalt Strike, vormt het nog steeds een potentiële bedreiging voor organisaties als het verkeerd wordt gebruikt.”
Penetratietesttools worden vaak gebruikt voor red team-operaties om potentiële beveiligingsproblemen in het netwerk van een bedrijf te signaleren. Dergelijke simulatietools van tegenstanders kunnen echter ook door dreigingsactoren worden gebruikt als wapen in hun voordeel.
Unit 42 zei dat het geen enkele activiteit van een threat actor heeft gedetecteerd die verband houdt met de Splinter-toolset. Er is nog geen informatie over wie de tool heeft ontwikkeld.
Artefacten die door het cybersecuritybedrijf zijn opgegraven, laten zien dat ze “uitzonderlijk groot” zijn. Ze zijn ongeveer 7 MB groot, wat voornamelijk komt door de aanwezigheid van 61 Rust-kratten erin.
Splinter verschilt niet van andere post-exploitatieframeworks in die zin dat het een configuratie bevat met informatie over de command-and-control (C2)-server. Deze informatie wordt geparseerd om contact te maken met de server via HTTPS.
“Splinterimplantaten worden aangestuurd door een taakgebaseerd model, dat gebruikelijk is bij post-exploitatieframeworks,” merkte Reichel op. “Het verkrijgt zijn taken van de C2-server die de aanvaller heeft gedefinieerd.”
Enkele functies van de tool zijn onder meer het uitvoeren van Windows-opdrachten, het uitvoeren van modules via externe procesinjectie, het uploaden en downloaden van bestanden, het verzamelen van accountgegevens van cloudservices en het verwijderen van zichzelf van het systeem.
“De toenemende verscheidenheid onderstreept hoe belangrijk het is om op de hoogte te blijven van preventie- en detectiemogelijkheden. Criminelen zullen immers waarschijnlijk technieken gebruiken die effectief zijn om organisaties te compromitteren”, aldus Reichel.
De onthulling volgt op de beschrijving van twee aanvalsmethoden die Deep Instinct heeft beschreven. Deze methoden kunnen door kwaadwillenden worden gebruikt om stiekem code te injecteren en privileges te escaleren. Hiervoor gebruiken ze een RPC-interface in Microsoft Office en een kwaadaardige shim.
“We hebben een kwaadaardige shim in een proces toegepast zonder een SDB-bestand op het systeem te registreren,” aldus onderzoekers Ron Ben-Yizhak en David Shandalov. “We hebben EDR-detectie effectief omzeild door naar een child-proces te schrijven en de doel-DLL van het gesuspendeerde child-proces te laden voordat er een EDR-hook kon worden opgezet.”
In juli 2024 wierp Check Point ook licht op een nieuwe procesinjectietechniek genaamd Thread Name-Calling. Hiermee kan een shellcode in een lopend proces worden geïmplanteerd door de API voor threadbeschrijvingen te misbruiken en endpoint protection-producten te omzeilen.
“Naarmate er nieuwe API’s aan Windows worden toegevoegd, ontstaan er ook nieuwe ideeën voor injectietechnieken”, aldus beveiligingsonderzoeker Aleksandra “Hasherezade” Doniec.
“Thread Name-Calling gebruikt een aantal van de relatief nieuwe API’s. Het kan echter niet voorkomen dat oudere bekende componenten worden opgenomen, zoals APC-injecties – API’s die altijd als een potentiële bedreiging moeten worden beschouwd. Op dezelfde manier is het manipuleren van toegangsrechten binnen een extern proces een verdachte activiteit.”