Siber güvenlik araştırmacıları, ESXI sistemlerini hedefleyen fidye yazılımı saldırılarının, cihazları komuta ve kontrol (C2) altyapısına tünel tüneline bir kanal olarak yeniden tasarlamak için erişimden yararlandığını ve radarın altında kaldığını buldu.
Sygnia araştırmacıları Zhongyuan Hau (Aaron) ve Ren Jie Yow, geçen hafta yayınlanan bir raporda, “İşlenmemiş ESXI cihazları, kurumsal ağlara geniş ölçüde erişmek için bir kalıcılık mekanizması ve geçit olarak giderek daha fazla sömürülüyor.” Dedi.
“Tehdit aktörleri, bu platformları ‘toprağın yaşama’ tekniklerini benimseyerek ve C2 sunucuları ile tehlikeye atılan ortam arasında bir çorap tüneli oluşturmak için SSH gibi yerel araçları kullanarak kullanıyor.”
Bunu yaparken, fikir meşru trafiğe karışmak ve güvenlik kontrolleri tarafından çok az tespit ile tehlikeye atılan ağda uzun vadeli kalıcılık oluşturmaktır.
Siber güvenlik şirketi, olay müdahale katılımlarının çoğunda, ESXI sistemlerinin yönetici kimlik bilgileri kullanılarak veya kimlik doğrulama korumalarını aşmak için bilinen bir güvenlik açığından yararlanarak tehlikeye atıldığını söyledi. Daha sonra, tehdit aktörlerinin SSH veya eşdeğer işlevselliğe sahip diğer araçları kullanarak bir tünel kurdukları bulunmuştur.
Araştırmacılar, “ESXI cihazları esnek ve nadiren beklenmedik bir şekilde kapatıldığından, bu tünel ağ içinde yarı saygın bir arka kapı görevi görüyor.”
Sygnia ayrıca ESXI günlüklerini izlemedeki zorlukları vurgulayarak, adli araştırmalar için tek bir yerde ilgili tüm olayları yakalamak için günlük yönlendirmeyi yapılandırma ihtiyacını vurguladı.
ESXI aletlerinde SSH tünelinin kullanımını içeren saldırıları tespit etmek için kuruluşların aşağıdaki dört günlük dosyasını gözden geçirmeleri önerilmiştir –
- /var/log/shell.log (ESXI Kabuk Etkinlik Günlüğü)
- /var/log/hostd.log (ana bilgisayar aracı günlüğü)
- /var/log/auth.log (kimlik doğrulama günlüğü)
- /var/log/vobd.log (VMware Observer Daemon Log)
Andariel Rid Backing’i istihdam ediyor
Geliştirme, Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Kuzey Kore bağlantılı Andariel Grubu tarafından monte edilen ve bir konuk veya konuk atamak için Windows Kayıt Defteri’ni gizlice değiştirmek için bir tekniğin kullanılmasını içeren bir saldırı detaylandırdı. Bir sonraki giriş sırasında düşük ayrıcalıklı hesap yönetim izinleri.
Kalıcılık yöntemi, düzenli hesapların yönetici hesabı ile aynı sürveyans seviyesine tabi tutulmaması ve böylece tehdit aktörlerinin tespit edilmemiş kalırken kötü niyetli eylemler gerçekleştirmesine izin vermesi nedeniyle sinsidir.
Bununla birlikte, RID kaçırma yapmak için, düşman bir makineyi zaten tehlikeye atmış olmalı ve standart hesabın RD değerini yönetici hesabına (500) değiştirmeyi gerektirdiği için idari veya sistem ayrıcalıkları kazanmış olmalıdır.
ASEC tarafından belgelenen saldırı zincirinde, tehdit oyuncusu yeni bir hesap oluşturduğu ve Psexec ve Juicypotato gibi ayrıcalık yükseltme araçlarını kullanarak sistem ayrıcalıklarını aldıktan sonra BT yönetici ayrıcalıkları atadığı söyleniyor.
Şirket, “Tehdit oyuncusu daha sonra oluşturulan hesabı ‘net yerel grup’ komutunu kullanarak uzak masaüstü kullanıcılar grubuna ve yöneticiler grubuna ekledi.” Dedi. “Uzak masaüstü kullanıcılar grubuna bir hesap eklendiğinde, hesaba RDP kullanılarak erişilebilir.”
“Rid değeri değiştirildikten sonra, Windows işletim sistemi tehdit oyuncusu tarafından oluşturulan hesabı hedef hesapla aynı ayrıcalıklara sahip olarak tanır ve ayrıcalık artışını sağlar.”
EDR kaçırma için yeni teknik
İlgili haberlerde, donanım kesme noktalarına dayanan bir yaklaşımın, kullanıcı-modu uygulamaları ve çekirdek modu sürücüleri tarafından ortaya çıkan olayları günlüklendirmek için bir mekanizma sağlayan Windows (ETW) algılamaları için olay izlemesini atlamak üzere kullanabileceği de keşfedildi.
Bu, SetThreadContext yerine NTContinue adlı yerel bir Windows işlevini kullanmayı, hata ayıklama kayıtlarını ayarlamak ve EDR’ler tarafından şüpheli aktiviteyi işaretlemek için EDR’ler tarafından ayrıştırılan etkinlikleri tetiklemekten kaçınmak ve böylece SetthreadContext’e dayanan telemetri almayı gerektirir.
Praetorian araştırmacı Rad Kawar, “CPU düzeyinde donanım kesme noktalarından yararlanarak saldırganlar, doğrudan çekirdek yaması olmadan işlevleri bağlayabilir ve kullanıcı alanlarında telemetriyi manipüle edebilir – geleneksel savunmalara meydan okuyabilir.” Dedi.
“Bu önemlidir, çünkü bir rakiplerin AMSI taramasını önleyen ve ETW günlüğünden kaçınan” yamasız “kancalar uygularken gizliden kaçınmak ve korumak için kullanabilecekleri bir tekniği vurgulamaktadır.”