ConnectWise Screenconnect gibi uzaktan izleme ve yönetim araçları, BT yönetimini basitleştirme konusunda bir ün kazanmıştır, ancak sofistike saldırganların dikkatini çekmişlerdir.
ScreAnconnect’in güvenilir kurulum ayak izi ve derin sistem ayrıcalıklarını kötüye kullanarak, rakipler artık ABD kuruluşlarına göre ikili uzaktan erişim truva atlarını (sıçan) ve özel bir PowerShell faresi dağıtmak için yükleyicileri troşallaştırıyor.
Bu ortaya çıkan tehdit, emtia sıçanlarının gizli, uzun vadeli erişim elde etmek için meşru yazılım kanallarında nasıl maskelenebileceğini göstermektedir.
Son araştırmalar, trojanize edilmiş screencect montajcılarının açık dizinlerde barındırıldığı ve dinamik / bin / yollar aracılığıyla yükleri getirdiği yeniden kullanılabilir bir altyapı modelini ortaya koyuyor.
En az sekiz altyapı ana bilgisayar (örneğin, 176.65.139[.]119, 45.74.16[.]71 ve 164.68.120[.]30) Logs.ldk, logs.IDR ve bunların varyasyonları adlı kurulumcuları açığa çıkarın, 60 kb ila 3 MB boyutunda değişir.
Yürütüldüğünde, bu yükleyiciler çok aşamalı bir dizi başlatır: bir VBScript veya JavaScript damlası, daha sonra gömülü yük bloblarını yeniden yapılandıran veya çözen bir PowerShell yükleyici (Skype.ps1) yürüten ve bunları bellekte veya libpk.dll kullanılarak yerel enjeksiyon yoluyla yükleyen bir kısayolu çağırır.
İlk aşama genellikle bir /Bin/ Dizin, sahte IRS veya Zoom güncelleme sayfaları gibi sosyal mühendislik yemini harmanlamak.
Toplu olarak, bu olaylar Screenconnect’in hem kötü amaçlı yazılım dağıtım vektörü hem de yüksek değerli tedarik zinciri hedefi olarak rolünü altına aldı.
Bu iki yönlü sıçan dağıtım stratejisi, bir yük yükü nötralize edilmiş olsa bile saldırganların bir dayanak tutmasını sağlar.
Kaçan Tradecraft
Birden fazla ana bilgisayarda gözlemlenen çift sıçrama yaklaşımı, ev sahibi savunmalara uyum sağlayan yürütme yollarını kaldırır.
Komut dosyası tabanlı taramalı sistemlerde Skype.ps1, aşağı akış modüllerini .NET’in montajı aracılığıyla doğrudan belleğe yükleyerek diskli artefaktları atlayarak.
Korunmasız veya AV-AVSENT uç noktalarda, yükleyici bunun yerine libpk.dll’nin dışa aktarımı, applaunch.exe gibi yerli pencereler ikili dosyalarına yürütür ve sıçanı güvenilir bir süreçte gömer.
Kalıcılık, her iki dakikada bir sık sık çalışacak şekilde yapılandırılmış SystemInstallTask veya 3Losh olarak adlandırılan planlanan görevlerle elde edilir.
En az sekiz altyapı ana bilgisayar (örneğin, 176.65.139[.]119, 45.74.16[.]71 ve 164.68.120[.]30) Logs.ldk, logs.IDR ve bunların varyasyonları adlı kurulumcuları açığa çıkarın, 60 kb ila 3 MB boyutunda değişir.
Asyncrat için ağ iletişimi, hem standart bağlantı noktalarını (21, 80, 443) hem de geçici yüksek bağlantı noktalarını (30.000-60.000) yayar, genellikle teftişten kaçınmak için TLS’ye sarılır.
Screenconnect istemci yürütülebilir ürünlerinin sık sık yeniden paketlenmesi ve dinamik etki alanı rotasyonu statik tespiti daha da belirsizken, yinelenen /Bin/ 2024’ten bu yana en az ilgili sekiz kimlik avı kampanyasında URL modeli gözlenmiştir.
Hafifletme
Savunucular karma tabanlı tespitlerden davranış ve tradecraft odaklı kontrollere geçmelidir.
RMM montajcılarının sıkı bir izin verilmesi-imzalayıcı meta verilerini değerli kılmak ve bant dışı satıcı kontrolleri kullanmak-truva atışlı ikili dosyaların yürütülmesini önleyebilir.
Proxy ve IDS sistemleri, olağandışı içerik tipi yanıtları işaretlemelidir /Bin/ İndirmeler ve Clickonce URL’leri. Endpoint güvenlik platformları, DLL ihracatı yoluyla eklenti tipi çalışma zamanı derlemesi, bellek içi montaj ve yerel enjeksiyon için özel kurallara ihtiyaç duyar.
C: \ Users \ Public gibi halka açık yerlerden yürütme engellenmeli veya sıkı bir şekilde izlenmeli ve eski komut dosyaları ana bilgisayarlarını kısıtlamak için uygulanan Applocker veya Cihaz Koruma politikaları.
Proaktif avcılık AB.VBS/Ab.js Droppers, Skype.ps1 yükleyicileri, libpk.dll dışa aktarma ve günlükler gibi göstergelere odaklanmalıdır.* Yük kapları.
Ayrıca, açık dizinlerin ve kimlik avı alanlarının yayından kaldırılmalarını barındırma sağlayıcıları ve sertifikalarla koordine etmek, saldırgan altyapısını bozabilir.
Özetle, Silahlı Screenconnect yükleyicileri artık güvenilir RMM yazılım istismarını uyarlanabilir yük evreleme ve kaçıncı ağ tradecraft ile birleştiren çift sıçrama dağıtım mekanizması olarak hizmet vermektedir.
Kuruluşlar, bu tedarik zinciri riskinden daha fazla ve gizli müdahaleleri önlemek için katmanlı savunmaları (davranışsal EDR, TLS muayenesi, katı RMM montaj kontrolleri ve proaktif avlar) benimsemelidir. Sürekli izleme /Bin/ Bu gelişen kampanyaları tespit etmek ve bozmak için desenler ve modüler yük kapları gerekli olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.