07.02.2025
1 хв
785
Дослідники кібербезпеки виявили новий метод атак, відомий як BYOTB (Bring Your Own Trusted Binary), що дозволяє хакерам використовувати легітимні файли для обходу систем виявлення загроз. Техніка була представлена експертом Девідом Кеннеді на конференції BSides London 2024 і вже привернула увагу безпекових служб по всьому світу.
Атака BYOTB експлуатує довіру до широко використовуваних бінарних файлів, таких як *Cloudflare cloudflared* та *OpenSSH*, створюючи приховані комунікаційні канали. Один із методів атаки включає тунелювання SSH-трафіку через HTTPS на порт 443, що дозволяє уникати блокувань традиційного SSH-порту 22. Це досягається через використання *cloudflared* як проксі для SSH-з’єднань, що робить трафік схожим на звичайний веб-трафік і дозволяє уникати виявлення системами моніторингу безпеки. Цей метод дозволяє зловмисникам обійти системи Endpoint Detection and Response (EDR) та фаєрволи, які зазвичай блокують нетипову активність.
Використання довірених бінарних файлів у кібератаках — не нова стратегія, але BYOTB значно ускладнює виявлення шкідливої активності. Багато організацій покладаються на такі програми, як Cloudflared, у своїх легітимних операціях, тому традиційні засоби захисту часто не фіксують їх використання в зловмисних цілях. Раніше схожі атаки застосовувалися в кампаніях державних хакерських груп, таких як APT.
Щоб захиститися від атак BYOTB, організаціям слід уважно відстежувати телеметрію, аналізуючи командні рядки із ключовими словами «tunnel» або «access», контролювати DNS-запити до *argotunnel.com*, а також блокувати непотрібний вихідний трафік на порт 7844. Додатково варто запровадити контроль завантажень Cloudflared-бінарників і перевірку їхніх хешів.
