De acordo com a pesquisa realizada pela SentinelOne, foi identificado um novo risco que afeta os pesquisadores de segurança da informação, bem como a comunidade de segurança da informação.
Os atores de ameaças que visavam a comunidade de segurança da informação não eram algo novo, pois houve vários casos em que indivíduos da segurança da informação foram visados.
Muitos pesquisadores de segurança contam com ferramentas de pesquisa de segurança como Ghidra, IDA Pro e outras para pesquisar várias outras explorações e desenvolver provas de conceito.
Esses pesquisadores de segurança foram recentemente alvo de uma campanha de spear-phishing relatado pelo Google Threat Analytics Group (TAG) em 2022.
Ataques a pesquisadores de segurança
Como muitos pesquisadores de segurança não podiam arcar com os custos das ferramentas de segurança, eles dependem de torrents para software pirata, fornecendo gratuitamente a mesma funcionalidade de uma ferramenta paga.
Essas ferramentas foram alvo de agentes de ameaças e aproveitadas para exfiltração de dados e técnicas pós-exploração.
Uma dessas pesquisas da ESET em 2021 afirmou que alguns atores maliciosos visaram os torrents do IDA Pro e injetaram um código malicioso que baixa uma DLL adicional de um servidor em nome do auxiliar do IDA para seguir na pós-exploração.
Outro relatório da Universidade de Leiden afirmou que cerca de 10% dos repositórios GitHub de prova de conceito têm a capacidade de exfiltrar dados do ambiente de destino.
Muitos dos projetos GitHub de pesquisadores de segurança estabeleceram contato com contas maliciosas.
SentinelOne também mencionou que “A capacidade de usar uma determinada ferramenta de engenharia reversa ou análise forense digital para alcançar vivendo da terra tipos de ataques podem ser encontrados.” e “softwares como o Ghidra permitem que um ator de ameaça atinja membros da comunidade de segurança”.
Identificando Viver da Terra
Living off the Land é um cenário de ataque em que os agentes de ameaças usam malware sem arquivo e contam com software e serviços legítimos no sistema da vítima para novos casos de ataque. Um desses estudos de caso foi realizado com o software Ghidra (lançado pela NSA).
Um invasor pode modificar um arquivo jar .java no repositório do Ghidra que contém o mesmo nome de classe do Ghidra no diretório /.Ghidra/patch para substituir a funcionalidade.
Este caminho libera o adversário de segurança necessário para os pesquisadores de segurança, que agora está sob o controle do agente da ameaça.
Uma vez obtido esse controle, o agente da ameaça pode descartar a carga útil do segundo estágio no sistema, uma vez que essa é a funcionalidade padrão do Ghidra.
Se um diretório chamado /.ghidra não existir durante a primeira instalação do Ghidra, ele mostrará uma política de acordo do usuário que o autor da ameaça pode explorar para conduzir uma campanha de phishing.
A relatório completo sobre esta pesquisa foi publicada pela SentinelOne, incluindo um estudo de caso, exploração e proteção contra esses tipos de cenários de ataque.
