İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), özellikle internete bakan Fortinet Fortigate 100D Serisi güvenlik duvarlarını hedefleyen “Şemsiye Standı” adlı sofistike bir kötü amaçlı yazılım kampanyası hakkında kritik bir uyarı yayınladı.
Bu yeni tanımlanan tehdit, ağ altyapı cihazlarına yönelik saldırılarda önemli bir artışı temsil eder ve kötü amaçlı yazılımlar, hedef cihazlardaki güvenlik açıklıklarından yararlanarak uzlaşmış ağlara uzun vadeli kalıcı erişim sağlamak için tasarlanmıştır.
Kötü amaçlı yazılım, veri iletimi için AES şifreli kanalları korurken, komuta ve kontrol sunucularına işaret etmek için 443 numaralı bağlantı noktasında sahte TLS iletişimi kullanan önemli teknik gelişmişlik ile çalışır.
.png
)
Uygun el sıkışmaları ile başlayan meşru TLS oturumlarının aksine, şemsiye standı bu protokolü tamamen atlar ve şifreli uygulama verilerini doğrudan denetleyicilerine 89.44.194.32 gibi sert kodlanmış IP adreslerini kullanarak gönderir.
Bu yaklaşım, saldırganların kötü niyetli trafiği normal HTTPS iletişimiyle harmanlamasına izin vererek algılamayı ağ yöneticileri için önemli ölçüde daha zor hale getirir.
NCSC analistleri, şemsiye standının, 7.3.11.11 sürüm 1.3.11, NetBios keşfi için NBTSCAN, ağ trafiği yakalama için tcpdump ve dizin erişim protokolleri için OpenLDAP bileşenleri gibi kapsamlı bir araç seti ile birlikte dağıtıldığını belirledi.
Kötü amaçlı yazılımın modüler mimarisi, birbirine bağlı çoklu bileşenlerden oluşur ve birincil ağ ikili “Blghtd” temel iletişim modülü olarak hizmet ederken, “JVNLPE” kalıcı işlemi sağlamak için bir bekçi süreci olarak işlev görür.
Tehdit aktörleri, dize şifreleme teknikleri uygulayarak ve tespiti önlemek için “/bin/httpsd” olarak yeniden adlandırma gibi Linux sistemlerinde makul bir şekilde var olabilecek jenerik dosya adlarını kullanarak operasyonel güvenlik bilincini gösterdiler.
Başarılı şemsiye standı enfeksiyonlarının etkisi, kötü amaçlı yazılım saldırganlarına kapsamlı uzaktan kabuk yürütme yetenekleri ve operasyonel gereksinimlere göre ayarlanabilen yapılandırılabilir işaret frekansları sağladığından basit ağ uzlaşmasının çok ötesine uzanmaktadır.
Tehdit, sistem yöneticileri tarafından algılanmayı önlemek için 900 saniye sonra uzun süredir devam eden görevleri otomatik olarak sonlandıran yerleşik güvenlik mekanizmaları ile hem kül kabuğu hem de meşgul kutusu ortamları aracılığıyla kabuk komutlarını yürütebilir.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Şemsiye standının en ilgili yönü, sistem yeniden başlatıldıktan sonra bile erişimi sağlayan sofistike kalıcılık mekanizmalarında yatmaktadır.
Kötü amaçlı yazılım, hem cihazın önyükleme işlemini hem de temel işletim sistemi işlevlerini manipüle eden çift yönlü bir yaklaşımla elde eder.
Birincil kalıcılık yöntemi, şemsiye standının meşru yeniden başlatma işlevini kendi başlatma kodu ile tanımladığı ve üzerine yazdığı Fortinet işletim sisteminin yeniden başlatma işlevselliğinin kancalanmasını içerir.
Bu kalıcılık mekanizması, kötü amaçlı yazılımların “libguic.so” kütüphanesini “/etc/ld.so.preload” yapılandırma dosyasının değiştirilmesiyle yeni süreçlere yükleyen bir LDPReload tekniği ile birlikte çalışır.
Yeni işlemler başladığında, bu kitaplık otomatik olarak yüklenir ve işlemin “USBMUX” olup olmadığını kontrol eder – eğer öyleyse, “CISZ” başlatma bileşenini yürütür, aksi takdirde sessizce çıkar.
Bu yaklaşım, belirli sistem işlemleri yeniden başladığında kötü amaçlı yazılımın kendini yeniden başlatmasını ve birden fazla kalıcılık yolunu oluşturmasını sağlar.
Kötü amaçlı yazılım ayrıca, cihazı yetkisiz erişimden korumak için tasarlanmış meşru Fortinet güvenlik özelliklerini kötüye kullanarak gelişmiş kaçırma yeteneklerini gösterir.
.webp)
Şemsiye Standı, “/data/etc/.ftgd_trusted/” deki referansları değiştirmek için “/bin/sysctl” ikili olarak kendi gizli dizini “/data2/.ztls/”.
Bu manipülasyon, Fortios’un cihaz yöneticilerinden belirli dizinleri gizleyen yerleşik mekanizmasını kullanır ve kötü amaçlı yazılım dosyalarını, meşru sistem koruma özelliklerini kullanırken görünürken normal dizin listeleri aracılığıyla etkin bir şekilde görünmez hale getirir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial