Эволюция скрипт-кидди: от игр к серьезным атакам

[BOOX]

Скрипт-кидди — это не просто школьные хулиганы, которые любят пощекотать кому-нибудь нервы. Сегодня они могут представлять реальную угрозу для бизнеса и личных данных.


За последние 10 лет скрипт-кидди превратились из практически безобидных любителей в серьезную угрозу. В статье рассказываем, что представляют из себя скрипт-кидди сегодня и как они изменились.

Скрипт-кидди: кто они и чем занимаются​

Скрипт-кидди — хулиганы в цифровом мире. Это люди, которые не владеют глубокими знаниями, но умеют использовать готовые скрипты для атак на компьютеры и сети. Скрипт-кидди можно назвать «автоматизированными» хакерами.

Они могут справиться с хакерскими программами и софтом, но плохо понимают, как эти программы работают. Они могут только включить их и использовать по инструкции. Например, найти типовую уязвимость «крякнутым» сканером и применить готовый эксплойт.

Наиболее распространенные виды атак скрипт-кидди — это те, что легче всего найти в поисковых системах. Подобно многим IT-специальностям, ИБ также сильно пострадала от инфоцыганства, включая курсы, обещающие 300 тысяч рублей в секунду на ББ без регистрации.

Поскольку материалы обучения передаются от одного гуру к другому почти в том же самом виде, как когда-то на её спустили Jason Haddix, Cocomelon, sektor7 и другие, мы в основном знаем все ключевые векторы описываемых там атак и примерно к ним готовы. Исключение составляют только совсем свежие техники: так или иначе, скрипт-кидди попадет в сообщество, где сможет получить доступ к проверенным и стабильным PoC, и начнет применять их на практике, будь то сосед, магазин керамических изделий или кто-либо еще.

Сейчас очень редко можно встретить PoC, который не требует доработки. Почти всегда присутствует какая-то закладка, нарушающая логику работы. Любой человек с минимальными знаниями в области информационной безопасности сразу поймет, что происходит, как это было, например, на прошлой неделе, когда мне пришлось удалять множество sleep-команд из PoC на LPE.

Таким образом, последствия атак начинающих хакеров зачастую такие же, как и у людей, не обладающих цифровой грамотностью — сбои и отказы в обслуживании затрагиваемых компонентов.

Скрипт-кидди могут использовать разные методы атаки: от рассылки спама и фишинговых писем до взлома аккаунтов в социальных сетях и кражи личных данных. Они чаще всего атакуют системы с низким уровнем кибербезопасности.

В основном скрипт-кидди атакуют резонансные уязвимости в мейнстримных IT-сервисах. Примером могут служить публичные уязвимости в Microsoft Exchange и VmWare, произошедшие в последнее время. Если компания не успевает обновить публичные сервисы, то риск компрометации очень велик. Злоумышленникам, возможно, не удастся развить атаку, для скрипт-кидди — это основная проблема – первый шаг продуман за них, но дальше наступают сложности.

Часто мотивы атак скрипт-кидди — просто получить удовольствие от взлома, показать свою силу или похвастаться перед друзьями. Но даже такие безобидные атаки могут привести к серьезным последствиям, например, к финансовым потерям или утечке личных данных. Скрипт-кидди чаще всего атакуют системы с низким уровнем кибербезопасности. Они не могут разработать свои атаки и не понимает, как работают системы в целом.

Скрипт-кидди прошлого: простые скрипты и безобидные проделки​

Скрипт-кидди — это явление, которое существует уже давно. Но с развитием технологий их методы становятся более изощренными, а атаки более опасными. Буквально 10 лет назад скрипт-кидди были похожи на детей, играющих с конструктором: они брали готовые скрипты, сшивали их вместе и пытались запустить на компьютеры других пользователей.

Их атаки были просты и бесхитростны. Они могли запустить скрипт, который открывал все окна на компьютере, или заполнял экран яркими цветами. Они могли отправить другу вирус, который менял шрифт на экране, или заставлял мышь двигаться в обратную сторону.

Обычно скрипт-кидди не охотятся за определенной жертвой, их интерес привлекают ресурсы с низким уровнем защищенности. В первую очередь они ищут опубликованные веб-сайты, роутеры и системы видеонаблюдения, в которых используются заводские значения логина и пароля. Также их привлекают ресурсы, обладающие уязвимостями. Для их эксплуатации требуется всего пара кликов. Например, уязвимости CVE-2021-34473 (ProxyShell), CVE-2020-1472 (Zerologon), CVE-2017-0144 (Eternalblue).

Результатами таких атак может стать дефейс веб-сайта, то есть подмена содержимого главной страницы, либо полное его уничтожение. Получение доступа к внутренней сети с последующим запуском шифровальщика, если мы говорим о заводских значениях паролей для роутеров. Или нарушении доступности сервисов из-за неграмотного использования эксплойтов или легкой доступности средств для проведения DoS-атак — при условии отсутствия адекватных мер защиты у атакуемого.

Их атаки были безобидны. Но даже они могли нанести ущерб, например, замедлить работу компьютера или удалить важные файлы.

Скрипт-кидди сегодня: новые инструменты и угрозы​

Скрипт-кидди больше не играют с простыми скриптами. Сегодня скрипт-кидди они имеют гораздо больше возможностей, чем 10 лет назад.

В современном мире многое влияет на повышение степени опасности скрипт-кидди. Например:

1. Развитие искусственного интеллекта. ИИ позволяет автоматизировать поиск уязвимостей и проведение атак. Инструменты на базе ИИ становятся всё более доступными, что снижает порог входа для начинающих хакеров.
2. Доступность эксплойтов. В интернете можно легко найти и скачать различные эксплойты и хакерские инструменты. Специализированные форумы, теневые интернет-ресурсы и даркнет предоставляют множество ресурсов для начинающих хакеров. Ресурсы типа GitHub часто публикуют рабочие эксплойты и инструменты для автоматизации атак.
3. Образовательные ресурсы. Множество онлайн-курсов и видеоруководств по хакерству делает процесс обучения более доступным. Даже без глубоких технических знаний можно освоить основные техники атак. Платформы вроде YouTube или Udemy предлагают курсы, которые обучают основам и продвинутым техникам взлома.
4. Облачные технологии. Скрипт-кидди могут использовать облачные ресурсы для проведения атак. Они могут арендовать облачные серверы для проведения DDoS-атак, что делает их атаки более мощными и устойчивыми.
5. Социальные сети и мессенджеры. Распространение информации через социальные сети и мессенджеры позволяет хакерам координировать свои действия, обмениваться инструментами и находить единомышленников. Платформы для общения, такие как Telegram, Discord или форумы в даркнете, упрощают координацию атак и обмен информацией между хакерами. Это позволяет скрипт-кидди быстро получать помощь и делиться новыми методами атак, что усиливает их возможности.

Интернет переполнен информацией и инструментами, которые могут помочь им в атаках:

1. Готовые гайды и скрипты. В сети огромное количество инструкций и готовых скриптов для атаки на уязвимости.
2. Автоматизированные сервисы. Существуют программы и сервисы, которые автоматизируют процесс атаки, что делает его доступным даже для новичков.
3. Искусственный интеллект. Нейросети могут помочь скрипт-кидди найти уязвимости в коде, создать список возможных паролей и даже сгенерировать скрипты для атаки.

Из-за доступности инструментов и ресурсов скрипт-кидди стали более опасными. Они могут совершать сложные атаки и наносить серьезный ущерб как отдельным пользователям, так и целым компаниям. Они взламывают банковские счета, крадут личную информацию и устраивают кибер-террор. Они уже не просто шутят, а зарабатывают деньги.

Примеров, иллюстрирующих изменения возможностей скрипт-кидди в атаках сегодняшнего дня и десятилетней давности, много. Для наглядности можно провести аналогию по расследованным инцидентам ИБ.

1. 2015 год. Заражение машины майнером было выполнено через скомпрометированный АРМ сотрудника организации. Майнер был закреплен в системе посредством создания сервиса в ветке реестра. Выполнение закрепления осуществлялось с помощью простого .bat файла. Сам же исполняемый файл также никак не маскировался.
2. 2024 год. Компрометация веб-приложения и последующий дефейс. Использование целого перечня атак для получения первоначального доступа в систему (брутфорс SSH, панели администрирования CMS, SQL-инъекции). Закрепление в системе посредством обфусцированного веб-шелла. Загрузка еще одного веб-шелла с расширенным функционалом. Попытка повышения привилегий текущего пользователя с использованием различных эксплойтов (например, CVE-2021-4034). Загрузка и использование инструмента для получения доступа к СУБД MySQL.

На основании этих двух примеров можно сделать вывод о том, что с течением времени возможности низкоквалифицированных хакеров выросли многократно, так как распространился инструментарий для проведения атак и информация по его использованию.

Киберпреступность стала профессиональным бизнесом, и скрипт-кидди — не исключение. Они работают в командах, используют сложные методы атаки и обладают знаниями в области информационной безопасности.

Основной фактор, повышающий степень опасности низкоквалифицированных хакеров «скрипт-кидди» для бизнеса — это доступность самих инструментов для взлома и инструкций, как их можно использовать. На самом деле, с тех пор, как сам термин скрипт-кидди появился в прессе, принципиально изменилась только доступность этой информации, а, следовательно, и аудитория, которая интересуется подобным, стала куда шире. Порог вхождения стал ниже, и если раньше типичный скрипт-кидди — это энтузиаст, имеющий какой-то технический бэкграунд, то сегодня буквально любой может найти в интернете эксплойт, нажать на кнопку и доставить массу неприятностей администраторам какой-нибудь информационной системы. Проблема еще усугубляется тем, что такие энтузиасты могут собираться в группы и успешно координировать свои действия более опытными товарищами.

Скрипт-кидди сегодня — это хищники, которые ищут свою добычу в цифровом мире. Они охотятся за деньгами, информацией и властью. И им уже не важно, какие средства использовать, лишь бы достичь цели. Мир скрипт-кидди изменился. И нам нужно быть готовыми к новым угрозам, которые они представляют.

Подводя итоги​

В заключение хочется подчеркнуть: мир скрипт-кидди, как и кибербезопасность в целом, динамичен. То, что было актуально 10 лет назад, сегодня уже не так эффективно. Игроки изменились, их мотивы стали серьезнее, а доступные инструменты мощнее.

Современные решения, безусловно, растут вместе с доступностью инструментов для проведения атак. И компании, которые вкладываются в защиту своих информационных активов, могут быть спокойны за свою инфраструктуру. Особенно те компании, которые внедряют практики безопасной разработки с использованием Enterprise-российских решений, которые учитывают специфику наших систем. С другой стороны, не стоит забывать, что многие атаки нацелены на людей и самое слабое звено в любой системе — именно человек. Поэтому стоит уделять особое внимание проведению awareness-программ и обучению сотрудников правилам гигиены в области кибербезопасности. И в этом также могут помочь решения и курсы от различных компаний.

Специалистам по кибербезопасности необходимо постоянно отслеживать эволюцию скрипт-кидди, изучать новые методы атаки и инструменты, которые они используют. Не стоит недооценивать скрипт-кидди, даже если их атаки могут казаться простыми или не столь опасными, как атаки профессиональных хакеров. Важно помнить, что ошибки в безопасности могут привести к серьезным последствиям, и чем раньше мы будем готовиться к угрозам, тем меньше будет рисков.

Для просмотра ссылки необходимо нажать Вход или Регистрация