Featured image of post Angriffskampagne auf Edge-Appliance: seit 2021 unentdeckt und widersteht Firmware-Update
Edge Security

Angriffskampagne auf Edge-Appliance: seit 2021 unentdeckt und widersteht Firmware-Update

Eine mögliche chinesische Angriffskampagne auf kompromittierte unpatched SonicWall SMA Edge-Geräte blieben seit 2021 unentdeckt und konnte auch durch Firmware-Updates bestehen.

A model representing edge computing security with connected devices.

Bild: ArtemisDiana/Adobe Stock Wie Angaben durch ein neues Mandiant-Forschungsdokument wird eine neue Malware aus mehreren Bash-Skripten und einer einzigen ausführbaren und verlinkbaren Format (ELF) binären Datei, die als TinyShell-Backdoor-Variante identifiziert wird. Tinyshell ist ein öffentlich verfügbares Tool, das von mehreren Bedrohungsakteuren verwendet wird ( Abbildung A )

Abbildung A

List of malware files used in the attack.

Bild: Mandiant. Liste der Malware-Dateien im Angriff verwendet. Der wichtigste Malware-Prozess ist eine Datei namens “firewalld”, die die TinyShell Backdoor mit Parametern ausführt, die es ermöglichen, eine umgekehrte Shell dem Bedrohungsaktor zur Verfügung zu stellen. Die umgekehrte Shell ruft einen C2-Server zu einem Zeitpunkt und Tag, der vom Skript bereitgestellt wird. Wenn beim Aufrufen des TinyShell-Binärs keine IP-Adresse zur Verfügung gestellt wird, bedeutet diese eine schwercodierte IP-Adresse, um zu erreichen.

Sicherheitsüberprüfung

  • Top Cybersicherheit Bedrohungen für 2023

  • Beste IT Asset Management Software

  • Treffen Sie das umfassendste tragbare Cybersicherheitsgerät

  • Wie Sie Ihre E-Mail über Verschlüsselung, Passwortmanagement und mehr sichern (TechRepublic Premium)

    Eine Kopie der “firewalld” Datei namens “iptabled” wurde geändert, um die Kontinuität der primären Malware im Falle eines Absturzes oder Abbruchs sicherzustellen. Die beiden Skripte wurden eingerichtet, um einander zu aktivieren, falls der andere nicht bereits läuft, die eine Backup-Instanz des primären Malware-Prozesses erstellt und dadurch seine Widerstandsfähigkeit erhöht.

Der “firewalld” Prozess wird zum Startzeitpunkt von einem Startskript namens “rc.local” gestartet, um den längeren Zugriff eines Angreifers zu erleichtern.

Eine Datei namens “ifconfig6” wird auch verwendet, um die Stabilität zu erhöhen. Der Hauptprozess “firewalld” fügt einen kleinen Patch zu einem legitimen SonicWall Binärnamen namens “firebased”, der einen Shutdown-String durch einen Anruf in das Skript “ipconfig6” ersetzt. Mandiant-Wissenschaftler vermuten, dass Angreifer auf Probleme stießen, als das “feuerbasierte” Drehbuch die Instanz abschaltete und beschlossen, ein kleines Drehbuch zu erstellen, um es zu beheben.

Sobald alles eingestellt ist, das letzte Ziel der Malware ist es, routinemäßig einen SQL-Befehl auszuführen, um die überholten Anmeldeinformationen aller angemeldeten Benutzer zu erfassen. Der Angreifer konnte dann diese Hashes abrufen, um sie offline zu knacken.

Firmware-Updates modifiziert

Ein Bash-Skript namens “geoBotnetd” auf einem infizierten Gerät gefunden überprüft alle 10 Sekunden für ein Firmware-Upgrade in /cf/FIRMWARE/NEW/INITRD erscheinen. GZ. Wenn das der Fall ist, wird das Skript die Datei sichern, entpacken, montieren und dann über das gesamte Paket von Malware-Dateien kopieren. Es fügt auch einen Backdoored Root-Benutzer namens “acme” zum System hinzu. Die Malware rezipiert es dann alles und setzt es wieder in Platz.

Diese Technik, obwohl nicht sehr anspruchsvoll, zeigt, wie motiviert die Angreifer sind, ihren Zugang langfristig zu halten, weil ein solides Wissen über den Firmware-Upgrade-Prozess notwendig ist, um eine solche Technik zu erstellen und einzusetzen.

Mandiant Forscher zeigen, dass diese Technik mit ein weiterer Angriff sie haben analysiert, dass die wichtigsten Prioritäten der chinesischen Regierung unterstützt wurden.

Eine lange Laufkampagne für Cyberspionagezwecke

Während der primäre Vektor der Infektion in dieser Angriffskampagne unbekannt bleibt, weisen Mandiant-Forscher darauf hin, dass die Malware oder ein Vorgänger davon wahrscheinlich im Jahr 2021 eingesetzt wurde und dass der Drohungsakteur wahrscheinlich Zugriff behalten, auch durch mehrere Firmware-Updates.

Da der einzige Zweck der Malware ist, Benutzer-Anmeldeinformationen zu stehlen, ist es stark vermutet, dass die Angriffskampagne folgt Cyber-Epionage-Ziele.

Mandiant besteht darauf, dass die Entwicklung von Malware für ein verwaltetes Gerät keine triviale Aufgabe ist, da Anbieter im Allgemeinen keinen direkten Zugriff auf das Betriebssystem oder sogar auf das Dateisystem solcher Geräte bieten. Dies macht es schwieriger, Exploits und Malware für diese Geräte zu entwickeln.

Wie vor dieser Bedrohung zu schützen

Für diesen besonderen Angriff fordert SonicWall SMA100 Kunden auf Aktualisierung bis Version 10.2.1.7 oder höher. Das Upgrade beinhaltet Härtesteigerungen wie File Integrity Monitoring (FIM) und anomale Prozessidentifikation.

In größerem Maßstab, Schutzkantengeräte aus Kompromissen erfordert einen mehrschichtigen Ansatz, der sowohl physische als auch Software-Sicherheitsmaßnahmen umfasst.

Darüber hinaus erziehen Mitarbeiter auf Cybersicherheit Best Practices, wie die Identifizierung von Phishing-E-Mails und Vermeidung von verdächtigen Websites oder Downloads. Während der anfängliche Infektionsvektor nicht bekannt ist, ist es sehr möglich, dass es vielleicht Phishing-E-Mails gewesen.

Angaben: Ich arbeite für Trend Micro, aber die Ansichten in diesem Artikel sind meine.

image

 ###  Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

Geliefert Dienstags und Donnerstags Heute anmelden

© 2024 BilbyTech