Featured image of post Uzak cihazlarda saldırı kampanyası: 2021'den beri tespit edilmedi ve Yazılım güncelleştirmesine direndi
Edge Security

Uzak cihazlarda saldırı kampanyası: 2021'den beri tespit edilmedi ve Yazılım güncelleştirmesine direndi

Olası bir Çin saldırısı kampanyası uzlaşmaz SonicWall SMA kenar cihazları 2021'den beri tespit edildi ve hatta Yazılım güncelleştirmeleri ile devam edebilirdi.

A model representing edge computing security with connected devices.

Resim: ArtemisDiana/Adobe Stock As As As As As As As As As As As As bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapora göre bildirilen rapor Yeni bir Mandiant araştırma belgesi tarafından, yeni bir yazılım birkaç bash senaryodan ve tek bir Executable ve Linkable Format (ELF) MinikShell backdoor varyant olarak tanımlanan ikili dosyadan yapılır. Tinyshell, çeşitli tehdit aktörleri tarafından kullanılan halka açık bir araçtır ( Şekil A ).

Şekil A

List of malware files used in the attack.

Resim: Mandiant. Saldırıda kullanılan yazılım dosyaları listesi. Ana yazılım süreci, küçükShell’in tehdit aktörüne ters bir kabuk sağlamasına izin veren parametrelerle geri dönmesine izin veren bir dosyadır. Ters kabuk, senaryo tarafından sağlanan bir C2 sunucusu çağırır. MinikShell ikilisini ararken IP adresi sağlanamazsa, ulaşmak için zor bir IP adresi içeriyor.

Güvenlik kapsama alanı

  • 2023 için Top siber güvenlik tehditleri

  • En İyi IT varlık yönetimi yazılımı

  • En kapsamlı taşınabilir siber güvenlik cihazıyla tanışın

  • E-postanızı şifreleme, şifre yönetimi ve daha fazla (TechRepublic Premium) ile nasıl güvence altına alın

    Bir kaza veya sonlandırma durumunda birincil yazılımların sürekliliğini sağlamak için “kesin” dosyasının bir kopyası değiştirildi. İki senaryo, diğerini zaten çalıştırmıyorsa, birincil yazılım sürecinin bir yedek örneği yarattı ve böylece dayanıklılığını güçlendirdi.

“Kapwalld” süreci, bir saldırganın uzun erişimlerini kolaylaştırmak için “rc.local” isimli bir başlangıç senaryosu tarafından önyükleme zamanında başlatılır.

“if6 yapılandırma” adı verilen bir dosya da istikrar artırmak için kullanılır. Ana “ateş duvarları” süreci, “ateş tabanlı” isimli meşru SonicWall ikilisine küçük bir yama ekliyor ve bu “ip configure6” senaryosu ile bir kapanış dizesini değiştiriyor. Mandiant araştırmacılar saldırganların “ateş temelli” senaryosu örneklerini kapatıp küçük bir senaryo oluşturmaya karar verdiklerinden şüpheleniyorlar.

Her şey ayarlandığında, yazılımların nihai hedefi, kullanıcıların tüm giriş giriş bilgilerini yakalamak için bir SQL komutunu rutin olarak yürütmektir. Saldırgan daha sonra onları çevrimdışı bir şekilde kırmak için bu eşyaları alabilirdi.

Officeware Update modified modified modified

“geoBotnetd” adlı bir bash senaryosu, enfekte bir cihaz kontrolleri için her 10 saniyede /cf /FIRMWARE/NEW/INITRD’de görünmeye işaret ediyor. GZ. Eğer durum buysa, senaryo dosyayı yedekleyecek, onu kaldıracak ve sonra tüm yazılım dosyaları paketini kopyalayacaktır. Ayrıca sistem için “acme” adı verilen arka kapılı bir kök kullanıcıyı da ekliyor. Yazılımlar daha sonra hepsini geri döndürür ve onu yere koyar.

Bu teknik, çok sofistike olmasa da, saldırganların erişimlerini uzun vadeli tutmak için nasıl motive olduklarını gösterir, çünkü bu tür bir tekniği oluşturmak ve dağıtmak için sağlam bir bilgi gereklidir.

Mandiant araştırmacılar bu tekniğin tutarlı olduğunu gösteriyor Başka bir saldırı Kampanya, önemli Çin hükümet önceliklerini desteklediğini analiz ettiler.

Cyber espionage amaçlı uzun bir koşu kampanyası

Enfeksiyonun birincil vektörü bu saldırı kampanyasında bilinmiyor olsa da, Mandiant araştırmacılar, yazılımların veya öncekilerin 2021’de konuşulduğunu ve tehdit aktörün muhtemelen birden fazla bilgisayar güncelleştirmesi yoluyla bile erişimi koruduğunu gösteriyor.

Çünkü yazılımların tek amacı kullanıcı bilgilerini çalmaktır, saldırı kampanyasının siber espionage hedeflerini takip ettiğinden şüphelidir.

Mandiant, yönetilen bir cihaz için yazılım geliştirmenin önemsiz bir görev olmadığı konusunda ısrar ediyor, çünkü satıcılar genellikle işletim sistemine veya hatta bu tür cihazların dosya sistemine doğrudan erişim sunmuyor. Bu, bu cihazlar için sömürüler ve yazılımlar geliştirmek daha zorlaşır.

Bu tehditten nasıl korunması

Bu özel saldırı için, SonicWall SMA100 müşterilerini çağırıyor Yükselt yükseltme yükseltme 10.2.1.7 veya daha yüksek sürüme. Yükseltme, File Integrity İzleme (FIM) ve anormal bir süreç tanımlaması gibi sertleştirici geliştirmeler içerir.

Daha büyük bir ölçek üzerinde, Uzak cihazları korumak uzlaşmadan itibaren hem fiziksel hem de yazılım güvenlik önlemleri içeren çok katmanlı bir yaklaşım gerektirir.

Ayrıca, güvenlik en iyi uygulamaları üzerinde çalışanları eğitmek, örneğin phishing e-postalarını tanımlamak ve şüpheli web siteleri veya indirmelerden kaçınmak gibi. İlk enfeksiyon vektörü bilinmese de, e-postaları taklit edebilir.

Açıklama: Trend Micro için çalışıyorum, ancak bu makalede ifade edilen görüşler benim.

image

 ###  Cybersecurity Insider Newsletter

Organizasyonunuzun BT güvenlik savunmalarını en son siber güvenlik haber, çözümleri ve en iyi uygulamaları tutarak güçlendirin.

Salı ve Perşembe günleri teslim edildi Bugün kaydolun

© 2024 BilbyTech