Суррогат Cobalt Strike. Как новый инструмент хакеров пытается быть незаметным (спойлер: получается плохо).

Mythic Лаборатория Касперского сетевой трафик NDR Discord GitHub
Суррогат Cobalt Strike. Как новый инструмент хакеров пытается быть незаметным (спойлер: получается плохо).
Mythic Лаборатория Касперского сетевой трафик NDR Discord GitHub

Эксперты описали сетевые признаки хакерского инструмента.

image

Специалисты «Лаборатории Касперского» опубликовали подробное исследование о том, как выявлять в корпоративных сетях присутствие Mythic — одного из самых популярных инструментов, которым пользуются злоумышленники для управления заражёнными компьютерами.

Mythic относится к так называемым фреймворкам постэксплуатации. Это платформы, позволяющие атакующим контролировать уже взломанные системы и постепенно расширять своё присутствие внутри организации. Если раньше хакеры предпочитали закрытые коммерческие решения вроде Cobalt Strike, то в последние годы всё большую популярность приобретают проекты с открытым исходным кодом — Mythic, Sliver, Havoc. Их активно применяют в том числе APT-группировки, атакующие российские компании.

Исследователи отмечают интересную закономерность: разработчики подобных инструментов сосредоточены на обходе антивирусов и систем защиты конечных точек, но уделяют куда меньше внимания маскировке сетевой активности. Между тем вредоносным агентам неизбежно приходится связываться с управляющими серверами, и эту коммуникацию можно отследить.

Mythic поддерживает множество способов связи: протоколы HTTP, WebSocket, TCP, SMB, DNS и даже MQTT. Более того, агенты могут прятать свой трафик, используя в качестве посредников популярные сервисы — Discord и GitHub. В этом случае команды и результаты их выполнения маскируются под обычные сообщения и комментарии, что делает активность практически неотличимой от легитимной.

Однако у всех этих разнообразных методов есть общая черта: данные кодируются по определённой схеме, где в начале сообщения всегда присутствует уникальный идентификатор агента в формате UUID. Именно этот паттерн и стал основой для создания правил обнаружения. Специалисты разработали набор сигнатур для системы Suricata, которые ищут характерные структуры в сетевых пакетах и позволяют выявлять коммуникации Mythic по протоколам SMB, TCP, HTTP, HTTPS и WebSocket.

Сложнее обстоит дело с зашифрованным трафиком. Если агенты используют Discord или GitHub через HTTPS без возможности расшифровки на стороне защитников, приходится прибегать к поведенческому анализу — отслеживать подозрительно частые соединения с этими сервисами или множественные DNS-запросы. Такой подход менее точен и требует тонкой настройки под конкретную инфраструктуру, чтобы избежать ложных срабатываний.

Важное ограничение касается протокола SMB: при включённом шифровании версии 3 сигнатурный анализ становится невозможным, а поведенческие методы дают слишком много ошибок, поскольку SMB широко используется в корпоративных сетях для легитимных целей.