CISA, Backup Exec Hatasını Düzeltme Çağrısında Bulundu


Yedekleme Yürütme Hatası

UNC4466 kimliği altında yeni bir ALPHV (aka BlackCat Ransomware) bulundu ve izlendi. Bu fidye yazılımı bağlı kuruluşu, CVE-2021-27876, CVE-2021-27877 ve CVE-2021-2787878’e karşı savunmasız olan Veritas Backup Exec Kurulumlarını kullanıyor. Ancak, bu CVE’ler yalnızca ilk erişim için kullanılır.

Ticari bir internet tarama aracı, Veritas Backup Exec kurulumlarından oluşan devasa bir 8500 kurulum buldu. Yama uygulanmamış sürümlerin sayısı hala önemli bir sayı olabilir.

ALPHV izinsiz girişleri genellikle geçmişte çalınan kimlik bilgilerinden geliyordu, ancak suçluların ortaya çıktığını belirten bilinen güvenlik açıklarını hedef almaktan kaynaklanıyordu.

BLACKMATTER ve DARKSIDE fidye yazılımı, Kasım 2021’de hizmet olarak fidye yazılımı olarak piyasaya sürülen ALPHV fidye yazılımının öncülleridir. Bazı fidye yazılımları, kritik altyapıdan kaçınmak için tasarlanmıştır, ancak ALPHV hala hassas endüstrileri hedeflemektedir.

CVE(ler)

özgeçmiş Satıcı/Proje Ürün Güvenlik Açığı Adı Kataloğa Eklenme Tarihi Kısa Açıklama Aksiyon Bitiş tarihi
CVE-2021-27876 Veritas Yedekleme Yürütme Aracısı Veritas Backup Exec Agent Dosya Erişimi Güvenlik Açığı 2023-04-07 Veritas Backup Exec (BE) Agent, bir saldırganın BE Agent makinesindeki dosyalara erişmek için bir veri yönetimi protokolü komutundaki giriş parametrelerini özel olarak oluşturmasına izin verebilecek bir dosya erişim güvenlik açığı içerir. Satıcı talimatlarına göre güncellemeleri uygulayın. 2023-04-28
CVE-2021-27877 Veritas Yedekleme Yürütme Aracısı Veritas Backup Exec Agent Uygun Olmayan Kimlik Doğrulama Güvenlik Açığı 2023-04-07 Veritas Backup Exec (BE) Aracısı, bir saldırganın SHA kimlik doğrulama şeması aracılığıyla BE Aracısına yetkisiz erişimine izin verebilecek uygunsuz bir kimlik doğrulama güvenlik açığı içerir. Satıcı talimatlarına göre güncellemeleri uygulayın. 2023-04-28
CVE-2021-27878 Veritas Yedekleme Yürütme Aracısı Veritas Backup Exec Agent Komut Yürütme Güvenlik Açığı 2023-04-07 Veritas Backup Exec (BE) Agent, bir saldırganın BE Agent makinesinde bir komut yürütmek için bir veri yönetimi protokolü komutu kullanmasına izin verebilecek bir komut yürütme güvenlik açığı içerir. Satıcı talimatlarına göre güncellemeleri uygulayın. 2023-04-28
Kaynak : CISA

Zaman çizelgesi

  • Mart 2021 – Veritas, Veritas Backup Exec 16.x, 20.x ve 21.x için tavsiyeler yayınladı
  • 23 Eylül 2022 – Metasploit, Veritas Backup Exec sürümlerinden yararlanmak için modülü yayınladı.
  • 22 Ekim 2022 – Mandiant tarafından gözlemlenen Veritas Güvenlik Açıklarından yararlanılıyor.

ALPHV’nin Saldırı Aşamaları

İlk Uzlaşma ve Dayanak Oluşturma

UNC4466, Veritas Backup Exec çalışırken internete bakan Windows sunucularından yararlanmak için exploit/multi/veritas/beagent_sha_auth_rce Metasploit modülünü kullandı. Kalan izinsiz girişin bir parçası olarak sistemlere kalıcı erişimi sağlamak için Metasploit kalıcılık modülü kullanıldı.

DÖRT

İç Keşif

UNC4466, Veritas Backup Exec sunucusuna eriştiğinde, Famatech’in Gelişmiş IP tarayıcısını web sitesinden indirmek için internet explorer’ı kullandılar. Bu araç, hem bireysel hem de IP adresleri, bağlantı noktaları, ana bilgisayar adları ve sistem donanım bilgilerini tarayabilir.

UNC4466 ayrıca kurbanın ortamının ağ, ana bilgisayar ve hesap bilgilerini toplamak için ADRecon’u kullanarak bir Active Directory Recon yaptı.

Ayrıcalıklı bir etki alanı hesabı ile ADRecon, AD ortamı, Güvenler, siteler, alt ağlar, parola ilkeleri ve bilgisayar ve kullanıcı hesabı listeleri hakkında çeşitli raporlar oluşturacaktır.

Diğer bir avantaj ise bu raporların CSV, XML, JSON ve HTML gibi gerekli formatlarda indirilebilmesidir.

Giriş Aracı Transferi

Ayrıcalıklı erişim elde ettikten sonra LAZAGNE, LIGOLO, WINSW, RCLONE ve ALPHV fidye yazılımı şifreleyici gibi ek araçları aktardılar.

C&C (Komuta ve Kontrol)

Bu sistemler arasında iletişim sağlamak için UNC4466, kurban ağ ile SOCK5 tünellemeyi kullandı. LIGOLO ve REVSOCKS gibi araçlar, tüm ağ savunmalarından veya diğer izinsiz giriş önleme sistemlerinden kaçınmak için kullanılır.

SOCK5 tünelleme, REVSOCKS ve LIGOLO tarafından desteklenen “C:\ProgramData” hazırlama dizinine çeşitli kaynakları indirmek için BITS Transfer’i kullandılar.

Ayrıcalıkları Yükselt

Kimlik bilgilerini boşaltmak için, tehdit aktörü kimlik bilgilerini açık metin olarak toplamak için Mimikatz, LaZagne ve Nanodump gibi araçlar kullandı.

Raporlara göre, Kasım 2022’de UNC4466, Yerel Güvenlik Yetkilisi Sunucu Hizmetini (LSASS) yöneten ve kimlik bilgilerini açık metin olarak toplayan ve bunu “adlı bir dosyada saklayan MIMIKATZ Güvenlik Desteği Sağlayıcı Enjeksiyon Modülünü (MISC::MemSSP) kullandı.C:\Windows\System32\mimilsa.log”.

Kaynak: Mandiant
Kaynak: Mandiant

Görevi Tamamla

ALPHV, UNC4466’nın dağıttığı pas programlama tabanlı bir fidye yazılımıdır. Grup ayrıca, güvenlik yazılımını devre dışı bırakma, ALPHV şifreleyiciyi indirme ve yürütme gibi kötü amaçlı eylemler gerçekleştiren varsayılan etki alanı politikasını da değiştirdi.

Maruziyet

Belirtildiği gibi, ticari bir internet tarama aracı, Veritas Backup Exec hizmetini çalıştıran yaklaşık 8500 IP adresi buldu (Symantec/Veritas Backup Exec ndmp) 10000, 9000 ve 10001 bağlantı noktalarında.

Ancak, güvenlik açığı bulunan sürümleri çalıştıran sistemler bu taramada tanımlanmadı; tehdit aktörleri potansiyel olarak bundan yararlanabilir.

Tespit etme

21.2’den önceki Veritas Backup Exec sürümleriyle çalışan sistemler için, internete bakan her sisteme yüksek öncelik verilmelidir.

İstismar edilen sistemler, Backup Exec günlük dosyasındaki belirli günlükleri görebilir. Bu olayların algılanması ve uyarılması için, dosyanın SIEM’e iletilmesi ve belirli olaylar için bir uyarı oluşturulması önerilir.

[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] + ndmpd.cpp (nnn):

[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] | 1. seans başladı

[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] – sslOpen() : Açılış SSL’si: 0x00000

[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpsrvr] – sslOpen(): sertifika bilgisi = 0x00000; sslConn = 0x00000

[nnnn] YYYY-aa-ggTHS:DD:SS.sss [ndmp\ndmpcomm] – ndmpRun: Kontrol bağlantısı kabul edildi : uç noktalar arasında kurulan bağlantı [Server IP]:10000 ve [Remote IP]:[remote port]

Bu rapor hakkında daha fazla bilgi için Mandiant, MITRE Çerçevesinin eksiksiz bir analizini ve diğer teknik ayrıntıları sağladı.

Uzlaşma Göstergeleri

da202cc4b3679fdb47003d603a93c90d MIMIKATZ
5fe66b2835511f9d4d3703b6c639b866 NANODUMP
1f437347917f0a4ced71fb7df53b1a05 Bu GOLO
b41dc7bef82ef384bc884973f3d0e8ca REVSOCKS
c590a84b8c72cf18f35ae166f815c9df Sysinternals PSEXEC
24b0f58f014bd259b57f346fb5aed2ea WINSW
e31270e4a6f215f45abad65916da9db4 REVSOCKS
4fdabe571b66ceec3448939bfb3ffcd1 Gelişmiş Bağlantı Noktası Tarayıcısı
68d3bf2c363144ec6874ab360fdda00a lazanya
ee6e0cb1b3b7601696e9a05ce66e7f37 ALPHV
f66e1d717b54b95cf32154b770e10ba4 METASPLOIT
17424a22f01b7b996810ba1274f7b8e9 METASPLOIT
45[.]61[.]138[.]109
185[.]141[.]62[.]123
5[.]199[.]169[.]209
45[.]61[.]138[.]109:45815
45[.]61[.]138[.]109:43937
45[.]61[.]138[.]109:36931
5[.]199[.]169[.]209:31600
45[.]61[.]138[.]109:41703
185[.]99[.]135[.]115:39839
185[.]99[.]135[.]115:41773
45[.]61[.]138[.]109:33971
185[.]141[.]62[.]123:50810
185[.]99[.]135[.]115:49196
hxxp://185[.]141[.]62[.]123:10228/güncelleme[.]exe

Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? – All-in-One Patch Manager Plus’ı deneyin

İlgili Okuma:



Source link