Czym jest Dead Drop Resolver?
Dead Drop Resolver to technika potajnej komunikacji wykorzystywana przez cyberprzestępców do pobierania złośliwych ładunków, instrukcji C2 (Command and Control) lub innych danych bez konieczności bezpośredniego kontaktu. Metoda ta polega na używaniu pozornie nieszkodliwych zasobów internetowych lub usług do ukrycia i pozyskania informacji potrzebnych do przeprowadzenia ataku.
Jak działa Dead Drop Resolver?
- Osadzanie danych: Atakujący osadzają złośliwy ładunek lub instrukcje w zwykłych zasobach online, takich jak publiczne strony internetowe, fora, media społecznościowe czy usługi chmurowe. Zasoby te służą jako „skrytki” (ang. dead drops), w których dane są przechowywane na widoku.
- Pobieranie danych: Złośliwe oprogramowanie na zainfekowanym systemie zawiera komponent typu resolver, który jest zaprogramowany do uzyskania dostępu do wybranego zasobu online i wydobycia ukrytych danych. Proces ten często polega na analizie konkretnej zawartości, takiej jak obrazy, pliki tekstowe lub metadane.
- Wykonywanie instrukcji: Po pobraniu danych resolver umożliwia złośliwemu oprogramowaniu wykonanie instrukcji, pobranie dodatkowego złośliwego oprogramowania lub nawiązanie łączności z serwerem C2 atakującego. Pozwala to na kontrolowanie zainfekowanego systemu i realizację celów ataku.
Skutki stosowania Dead Drop Resolverów
- Unikanie wykrycia: Wykorzystanie legalnych zasobów online umożliwia atakującym uniknięcie bezpośredniej komunikacji z serwerami C2, co utrudnia tradycyjnym systemom bezpieczeństwa wykrycie i zablokowanie tego typu operacji.
- Trwałość: Dzięki zastosowaniu skrytek atakujący mogą utrzymać trwałą obecność w skompromitowanej sieci – sposób pobierania danych może być łatwo zmieniony lub przeniesiony do innego zasobu, jeśli zostanie wykryty.
- Działanie w ukryciu: Dead Drop Resolvers umożliwiają atakującym prowadzenie działań w sposób wysoce dyskretny, co zmniejsza szansę na wykrycie i wydłuża czas prowadzenia operacji.
