Эксперт Рахметов рассказал о ПО Havoc, через которое хакеры воруют данные
В разговоре с «ТехИнсайдером» СЕО Security Vision Руслан Рахметов рассказал, что из себя представляет фреймворк Havoc, которым начали оперировать мошенники.
«Havoc — это свободно доступный на GitHub и бесплатный Open Source инструмент. Он был разработан более двух лет назад, автором предположительно является молодой человек из Австрии по имени Paul Ungur, использующий псевдоним C5pider», — сообщил специалист.
Подобные инструменты (фреймворки постэксплуатации), как отмечает Рахметов, обладают удобным функционалом и легально используются специалистами по кибербезопасности для проведения пентестов (тестирований на проникновение), изучения методов проникновения атакующих в сети компаний, выявления и устранения брешей в киберобороне.
При этом подобных инструментов много – например, это и бесплатные Metasploit, Empire, Sliver, и платные Cobalt Strike, Brute Ratel. Все они также используются и атакующими благодаря их удобству, доступности, широким возможностям кастомизации и доработки. Фреймворк Havoc, несмотря на пока что недолгую историю своего существования, уже применяется в реальных атаках, подчеркнул эксперт.
Фреймворк Havoc, также как и его альтернативы — это модульное ПО с поддержкой самостоятельной донастройки и доработки функционала пользователями. Он состоит из нескольких основных компонентов:
- Demon — агент, устанавливаемый на атакованное устройство под управлением Windows;
- Teamserver — сервер управления (англ. Command & Control, C2-сервер) для управления агентами;
- Client — веб-консоль для атакующего, использующаяся для подключения к Teamserver, в которой отображается список всех агентов и из которой можно ими интерактивно управлять.
«Установка агента является, по сути, заражением устройства вирусом-шпионом, который обеспечивает атакующему полный доступ к файлам и папкам, скачивание и загрузку с/на атакованный ПК любого файла, получение скриншотов, выполнение произвольных команд на атакованном ПК, доступ к данным сетевой карты. Заражение устройства — это задача, которую атакующим требуется выполнить заранее, и она зачастую реализуется методами социальной инженерии, например, за счет рассылки фишинговых писем с офисным документом, запускающим установку агента», — уточнил СЕО Security Vision.
Рахметов отметил, что агент оснащен функционалом для тонкой настройки методов обхода защитных решений (антивирусов и EDR-систем) и сокрытия своего присутствия в атакованной системе. Фреймворк также обеспечивает зашифрованные коммуникации между управляющим сервером и агентами, что усложняет их обнаружение в скомпрометированной инфраструктуре. Кроме того, разработчик фреймворка Havoc предоставляет подробную документацию, а поддержка осуществляется активным сообществом пользователей инструмента.