Pyramid — сервер с открытым исходным кодом для последующей эксплуатации, впервые выпущенный на GitHub в 2023 году, предназначен для обхода инструментов обнаружения конечных точек и реагирования на них (EDR). Этот инструмент активно использует Python в различных средах и функционирует как HTTP/S-сервер, облегчая функции управления за счет доставки файлов.
Как работает Pyramid
Ключевым аспектом работы Pyramid являются поставляемые с ним модули, которые могут загружать установленные программы, такие как BloodHound, secretsdump и LaZagne, прямо в память. Это позволяет злоумышленникам функционировать в контексте легитимного и подписанного интерпретатора Python, что значительно увеличивает их шансы на успешное избегание традиционных мер безопасности на конечных точках.
Недавние инциденты с использованием Pyramid
В декабре 2024 года отчет DFIR выявил, что хакерская группа TA4557, также известная как FIN6, использовала Cobalt Strike и Pyramid для атак на соискателей работы с помощью вредоносного ПО more_eggs. Похожие исследования от GuidePoint Security обнаружили кампанию с участием филиала RansomHub, который использовал бэкдор на основе Python для взлома конечных точек.
Обнаружено заметное совпадение между показателями компрометации (IOCs), о которых они сообщали, и инфраструктурой, связанной с Pyramid, что усиливает вовлеченность этого инструмента в активные кибератаки. Основная связь агента Pyramid с сервером осуществляется через протоколы HTTP или HTTPS, используя базовую HTTP-аутентификацию для контроля доступа.
Определительные характеристики Pyramid
Анализ шаблонов запросов-ответов позволяет исследователям разрабатывать сигнатуры обнаружения. Отличительные характеристики ответов от серверов Pyramid включают:
- Код состояния HTTP, равный 401 (неавторизованный);
- Хэши текста ответа;
- Конкретная информация заголовка сервера, указывающая на используемую версию и платформу.
Хотя конкретные значения могут варьироваться в зависимости от развертывания, они могут быть обобщены для выявления изменений при определении инфраструктуры, связанной с Pyramid.
Заключение и рекомендации
Недавние сканирования выявили девять IP-адресов, которые соответствуют критериям Pyramid и указывают на концентрированный и специфический ландшафт угроз. Подтверждение наличия определенных HTTP-заголовков, таких как WWW-Authenticate: Basic realm=’Демонстрационная область’ и Content-Type: application/json, дополнительно проверяет взаимодействие с сервером Pyramid, повышая точность методов обнаружения и снижая ложные срабатывания.
Среди обнаруженных IP-адресов три — 104.238.61.144, 92.118.112.208 и 45.82.85.50 — ранее были отмечены как IOCs при анализе инфраструктуры RansomHub, что указывает на прямую связь с предыдущими вредоносными действиями. Другой сервер, 54.38.94.225, связан с несколькими доменами, похожими на домены DevaGroup, служб интернет-маркетинга, которые были недавно зарегистрированы в декабре 2024 года, что свидетельствует о возможной фишинговой активности.
В совокупности указываемая информация подчеркивает скрытность работы Pyramid и её значимость в продолжающихся хакерских инцидентах, что позволяет глубже понять тактики, применяемые злоумышленниками для избежания обнаружения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Обнаружение и анализ угроз: управление с помощью инструмента Pyramid".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.