Son zamanlarda FBI ve CISA, İranlı bir APT grubunun XMRig kripto madenciliğini dağıtmak için Log4Shell RCE kusurundan (CVE-2021-44228) yararlanarak Federal Sivil Yürütme Şubesi (FCEB) kuruluş ağı Etki alanı denetleyicisini tehlikeye attığını ifşa ettikleri ortak bir danışma belgesi yayınladılar. kötü amaçlı yazılım ve kimlik bilgileri Harvester.
İranlı bir APT Hackegroup, yama uygulanmamış bir VMware Horizon sunucusunu atlayarak federal ağı tehlikeye atmalarına ve ters proxy’lerin yardımıyla FCEB ağının ağında kalıcılığı sürdürmelerine izin verdi.
CVE-2021-44228 (log4Shell), rastgele kod yürütmeyi içeren popüler bir Java günlük kaydı çerçevesi olan Log4j’deki sıfır günlük bir güvenlik açığıydı ve VMware Horizon da dahil olmak üzere çok çeşitli ürünleri etkiliyor.
CISA, saldırganların Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) sürecini görev yöneticisiyle boşaltmaya çalıştığını gözlemledi, ancak bu, FCEB kuruluşunun yüklediği ek anti-virüs tarafından durduruldu.
Log4Shell açığından yararlanma
CISA, ağ ile kötü amaçlı olduğu bilinen bir IP adresi arasında çift yönlü trafik aktığını keşfetti. VMware Horizon sunucularının, bu bilinen kötü amaçlı IP adresiyle ilişkili Log4Shell güvenlik açığına karşı savunmasız olduğu tespit edildi.
Log4Shell güvenlik açığından yararlanan tehdit aktörleri, XMRig kripto madencisini kurdu ve ardından aşağıdakileri gerçekleştirdi:-
- Yanal olarak etki alanı denetleyicisine (DC) taşındı
- Güvenliği ihlal edilmiş kimlik bilgileri
- Yüklü Ngrok ters proxy’leri
Devlet destekli bilgisayar korsanlığı grupları da dahil olmak üzere, Log4Shell güvenlik açığından yararlanarak VMware Horizon ve Unified Access Gateway (UAG) sunucularını avlamaya devam eden çok sayıda tehdit aktörü var.
Kuruluşun VMware sunucusuna, aşağıdaki IP adresinden HTTPS aracılığıyla erişiliyordu:-
Ancak daha sonra, LDAP sunucusu IP adresinin tehdit aktörleri tarafından Log4Shell güvenlik açığını dağıtmak için kullanıldığı keşfedildi.
“HTTPS etkinliğinin ardından CISA, bu IP adresine 443 numaralı bağlantı noktasında şüpheli bir LDAP geri araması gözlemledi. CISA ayrıca us-nation-ny için bir DNS sorgusu gözlemledi.[.]51.89.181’e geri dönen cf[.]64 kurban sunucu, bu Log4Shell LDAP geri aramasını aktörlerin sunucusuna geri gönderirken.” CISA raporunda söyledi.
Log4Shell’in uzaktan istismar edilmesi, saldırganların savunmasız sunucuları açığa çıkaran, ihlal edilmiş ağlar arasında yanal olarak hareket ederek hassas bilgilere erişmesine izin verebilir.
Teknik Analiz
Bir APT saldırısının parçası olarak İranlı APT tehdit aktörleri tarafından tespit edilen, kuruluş tarafından dağıtılan orijinal olarak yama uygulanmamış VMware Horizon sunucuları vardı.
Sonrasında aşağıdaki zararlı IP adresi tehdit aktörleri tarafından bağlantı kurmak için kullanılmış ve bu bağlantı 17.6 saniye sürmüştür:-
İstismar yüklerinde aktörler, Windows Defender’a aşağıdaki PowerShell komutu tarafından çalıştırılan bir hariç tutma kuralı ekledi:-
powershell deneyin{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘add-exclusion’} catch {Write-Host ‘adding-exclusion-failed’ }; powershell -enc “Bir sonraki aşamayı indirmek ve çalıştırmak için $BASE64 kodlu yük”
Bu hariç tutma kuralı, tüm sürücünün listelenmesine izin verdi c:/ dışlama listesinde. Bu yöntemi kullanarak, tehdit aktörleri virüs taramaları tarafından tespit edilmeden araçları bilgisayara indirebilir. c:/sürücü.
Yüklemenin ardından bir dosya.zip -dan çıkarılır 182.54.217[.]2ve bununla bir kez bittiğinde, diskten, mde.ps1 kaldırıldı.
Aşağıda file.zip içeriğinden bahsetmiştik: –
- WinRing0x64.sys
- wuacltservice.exe
- yapılandırma.json
- RuntimeBroker.exe
Araştırmacılar, dosyanın derinliklerine indiklerinde file.zip dosyasının kripto madenciliği yazılımı içerdiğini ortaya çıkardı. Aşağıdaki araçlar da transfer adlı bir sunucudan indirilmiştir.[.]yaklaşık 30 megabaytlık bir hacimde sh.
Aşağıda, tehdit aktörleri tarafından indirilen araçlardan bahsetmiştik: –
- PsExec: Sistem yöneticileri için Microsoft imzalı bir araç.
- Mimikatz: Kimlik bilgileri hırsızlığı aracı.
- Nın-ninrok: Dahili bir hizmeti bir Ngrok etki alanına proxy yapmak için bir ters proxy aracı.
Mimikatz, VDI-KMS üzerinde yürütüldükten sonra, toplanan kimlik bilgilerine göre sahte bir etki alanı yöneticisi hesabı oluşturuldu. Aktörler, yeni oluşturulan hesabı ağ içindeki çeşitli ana bilgisayarlara yaymak için RDP kullandı.
Aşağıda tehdit aktörleri tarafından kullanılan alanlardan bahsetmiştik:-
- tünel.us.ngrok[.]iletişim
- korgn.su.lenutu[.]iletişim
- *[.]iletişim
- *[.]ben
- ngrok.*.tünel[.]iletişim
- korgn.*.uçtu[.]iletişim
Tehdit aktörlerinin ağda bir yer edinmesi için Active Directory’de aşağıdaki PowerShell komutunu gerçekleştirmeleri gerekiyordu:-
- Powershell.exe get-adcomputer -filter * -özellikler * | ad, işletim sistemi, ipv4 adresi seçin >
Bunun birincil amacı, nihayet etki alanı denetleyicisine yanal olarak geçmek olsa da, sahte etki alanı yöneticisi erişimi algılanır ve sonlandırılırsa, tehdit aktörleri yerel yönetici şifresini yedek olarak değiştirmiştir.
Tehdit aktörü taktikleri ve teknikleri
İşte APT bilgisayar korsanları tarafından büyük siber saldırıda kullanılan tam saldırı TTP’leri.
- İlk Erişim – Halka Açık Uygulamadan Yararlanın – Aktörler, VMware Horizon sunucusundaki Log4Shell hatasından yararlandı
- Uygulamak – PowerShell, bir Komut ve Betik Tercümanı – aktörler, etki alanındaki makinelerin bir listesini elde etmek için AD’de PowerShell’i çalıştırdı.
- sebat – Hesap Manipülasyonu, Hesap Oluştur: Yerel Hesap, Hesap Oluştur: Etki Alanı Hesabı, Zamanlanmış Görev/İş: Zamanlanmış Görev,
- Kaçınma Tespiti – Savunmaları Bozma: Araçları Devre Dışı Bırakma veya Değiştirme, Ana Bilgisayarda Gösterge Kaldırma: Dosya Silme,
- Kimlik Bilgisi Erişimi – İşletim Sistemi Kimlik Bilgileri Dökümü: LSASS Belleği, Parola Depolarından Kimlik Bilgileri,
- keşif – Uzak Sistem Keşfi – Tüm makinelerin bir listesini elde etmek için AD’de PowerShell komutu.
- Yanal Hareket – Uzak Hizmetler: Ağdaki birden çok ana bilgisayara erişim elde etmek için Uzak Masaüstü Protokolü.
- Komuta ve kontrol – RDP bağlantılarını proxy yapmak ve komut ve kontrol gerçekleştirmek için Ngrok.
- Giriş Aracı Transferi – PsExec, Mimikatz ve Ngrok dahil olmak üzere ağa kötü amaçlı yazılım ve birden çok araç indirildi.
Azaltmalar
Sorunu hafifletmek için CISA ve FBI aşağıdaki önlemleri önerdi: –
- Etkilenen tüm VMware Horizon ve UAG sistemlerinin en güncel sürüme güncellendiğinden emin olmak için güncellenmiş yapıları kurun.
- Tüm yazılımlarınızı düzenli olarak güncellemek çok önemlidir.
- İnternete bakan mümkün olduğunca az saldırı yüzeyi olduğundan emin olun.
- Kimlik ve erişimi etkili bir şekilde yönetmek için en iyi uygulamaları takip etmek önemlidir.
- Günlük tuttuklarından emin olmak için etki alanı denetleyicilerinin denetlendiğinden emin olun.
- Ele geçirilen tüm kimlik bilgilerini tanımlayın ve onlar için bir reddetme listesi oluşturun.
- Belirli yerlerde hesapların ve kimlik bilgilerinin kullanımını kısıtlayarak kimlik bilgilerinin güvence altına alındığından emin olun.
Güvenlik Kontrollerini Doğrulayın:
- Bu danışma belgesinde açıklanan bir ATT&CK tekniği seçin (bkz. tablo 1).
- Güvenlik teknolojilerinizi tekniğe göre hizalayın.
- Teknolojilerinizi tekniğe karşı test edin.
- Tespit ve önleme teknolojilerinizin performansını analiz edin.
- Bir dizi kapsamlı performans verisi elde etmek için tüm güvenlik teknolojileri için işlemi tekrarlayın.
- İnsanlar, süreçler ve teknolojiler dahil olmak üzere güvenlik programınızı bu süreç tarafından oluşturulan verilere göre ayarlayın.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin