[ This article was originally published here ]
SOC’den Hikayeler, AT&T SOC analist ekibi tarafından müşteriler için yürütülen ve raporlanan son gerçek dünya güvenlik olayı araştırmalarını açıklayan bir blog dizisidir.
Yönetici Özeti
2022 Haziran ayının ortasından bu yana, Güvenlik Operasyonları Merkezi (SOC), Telnet yerine SSH sunucularına erişim sağlamaya çalışan Mirai botnet-C2’den çok sayıda saldırı gözlemledi.
Gözlemlenen çeşitli taktikler, teknikler ve prosedürler (TTP) nedeniyle, bu saldırı botnet (Mirai varyantları) ile ilişkilendirilmiştir. RapperBot’un hedefi hala tanımlanmamıştır.
tarafından yayınlanan analize göre, Mirai varyantlarının çoğu varsayılan veya zayıf parolalar kullanan Telnet sunucularını doğal olarak kaba kuvvetle çalıştırabilirken, RapperBot özellikle parola kimlik doğrulaması gerektirecek şekilde tasarlanmış SSH sunucularını tarar ve denemeye çalışır.
Kötü amaçlı yazılımın büyük bir kısmı, 768 bit veya 2048 bit anahtarlarla Diffie-Hellman anahtar değişimi ve AES128-CTR kullanarak veri şifreleme kullanan herhangi bir SSH sunucusuna bağlanıp kaba kuvvet uygulayabilen bir SSH 2.0 istemcisini çalıştırıyor. RapperBot’ta kaba zorlamanın benzersiz bir özelliği, SSH Protokolü Değişim aşamasında kendisini hedeflenen SSH sunucusuna tanıtmak için SSH-2.0-HELLOWORLD’ün kullanılmasıdır.
Kötü amaçlı Mirai botnet IP adreslerinden biri, bir kuruluştaki bir varlıkla SSH bağlantı noktası 22 üzerinden ağ trafiğine izin vermişti. Bir miktar veri aktarımından sonra oturum, istemci sıfırlama eylemiyle kapandı. MXDR SOC ekibi, yanal hareketi ve saldırganın daha ileri gitmesini önlemek için hafifletme adımlarını hızlı bir şekilde belirledi ve önerdi.
Soruşturma
İlk alarm incelemesi
Uzlaşma Göstergeleri (IOC)
Alarm, çoklu darbelerle (Miraibotnet-C2-CDIR Düşürme Listesi) ve bilinen kötü niyetli bir IP’nin OTX göstergesiyle başlatıldı. Bilinen kötü amaçlı IP ile bir kuruluştaki dahili bir varlığın genel IP’si arasında ağ trafiği vardı. Ağ trafiği, SSH bağlantı noktası 22’nin üzerindeydi ve güvenlik sistemi (güvenlik duvarı) eylemi bir reddetmeydi. Güvenlik sistemi (güvenlik duvarı) reddetme eylemi, otomatik azaltmanın kanıtıydı. Bu durumda, otomatik hafifletme, saldırının güvenlik duvarı kuralları ve tehdit istihbaratı tarafından kötü amaçlı IP’den gelen bağlantıyı reddederek önlendiği anlamına gelir.
Ancak olayların daha ayrıntılı analizi, kötü niyetli IP’den başka bir dahili varlığa trafiğe izin verildiğini gösterdi. Bunun yanı sıra “sentbyte=1560, rcvdbyte=2773, sentpkt=15, rcvdpkt=13” ile kaynak IP’den veri aktarımı olduğuna dair işaretler vardı.
** Siber güvenlikte risk azaltma, siber saldırıların genel risk/etkisinin azaltılmasıdır. Tespit, önleme ve iyileştirme, siber güvenlikte risk azaltmanın üç bileşenidir.
Genişletilmiş soruşturma
Olay arama
Ekip, alarmla ilişkili olayları kontrol ettikten sonra, kötü amaçlı yazılımın ortama daha fazla girip girmediğini veya herhangi bir yanal hareket girişiminde bulunup bulunmadığını görmek için her zaman çevre güvenliğini kontrol eder.
Ekip, IP göstergesine dönerek, son 90 günlük olayları ve güvenlik sisteminin (güvenlik duvarı) izin verdiği eylem türlerini filtreleyerek olayları aradı. client-rst, server-rst, timeout ve kapalı olaylar ile kötü amaçlı IP’den farklı dahili varlıklara birkaç bağlantı olduğu belirlendi.
Client-rst – İstemci tarafından oturum sıfırlama, Sunucu-rst – Sunucu tarafından oturum sıfırlama
Bunlar genellikle kimin TCP (İletim Kontrol Protokolü) sıfırlaması gönderdiğini ve oturumun sonlandırıldığını gösteren oturum bitiş nedenleridir – bu, bir güvenlik sisteminin (güvenlik duvarı) trafiği engellediği anlamına gelmez. Bu, istemciden sunucuya bir oturum başlatıldıktan sonra, TCP sıfırlamayı kimin gönderdiğine bağlı olarak (istemci veya sunucu) tarafından sonlandırılacağı anlamına gelir. Oturum sonu sonuçları trafik günlüklerinde bulunabilir.
Ekip, oturum istemci tarafından (yani rakip taraf) sıfırlandığı için sistemin güvenliğinin ihlal edilmiş olabileceğinden şüphelendi. Daha sonra büyük miktarda paket iletimi ile oturumun kapatıldığı (sonlandırıldığı) gözlemlendi.
Olay derin dalışı
İzin verilen bağlantıların daha ayrıntılı incelenmesinin ardından, kötü amaçlı IP, müşteri güvenlik sistemiyle (güvenlik duvarı) SSH bağlantı noktası 22 üzerinden trafik olduğunu gösterdi. SSH bağlantı noktası 22, bir TCP bağlantısı kullanıyor. Bu nedenle, veri aktarmadan önce 3’lü el sıkışma ile güvenilir bir bağlantı kurması gerekir.
Başlığı (ilk iki paket) el sıkışmak için, TCP yaklaşık 24 bayt ve paketin normal iletimi için yaklaşık 20 bayt kullanır. 3 yollu el sıkışma ile güvenilir bir bağlantı kurmak için sadece üç paketin iletilmesi gerekir. Bağlantı kurma: ~ 128-136 bayt.
Diğer bir gözlem ise, paket boyutu ile gönderilen ve alınan baytların, normal paketlerden ve TCP 3 yollu el sıkışma baytlarından daha büyük olması nedeniyle veri aktarımının göstergeleri olduğudur. Bunun bir yükün veya güvenliği ihlal edilmiş kimlik bilgilerinin bir göstergesi olduğuna inanılıyor.
Rapperbot’lar, bir SSH kaba kuvvet kampanyası gibi çalışır. Bir cihaza erişim sağladıktan sonra mimarisini, yani cihazın IP’sini ve kullanılan kimlik bilgilerini C2 sunucusuna gönderir. Daha sonra düşman, ikili indirici veya benzeri bir yazılım aracılığıyla güvenliği ihlal edilmiş cihaza ana yük ikili dosyasını yüklemeye çalışır. ftpget, wget, kıvırmak, veya tftp, bu cihazda yüklü.
Ek göstergeler için inceleme
Saldırgan bu noktada ağa “İlk Erişim (taktik)” tabanlı “Exploit Public Facing Application” tekniğini kullanarak ağa girmeye çalıştı.
Kamuya Yönelik Uygulamadan Yararlanma, saldırganlar tarafından bir ağa İlk erişim elde etmek için bir programdaki veya internete bakan bilgisayardaki güvenlik açıklarından/zayıflıklardan yararlanmak için kullanılan bir tekniktir. Bu durumda, veri aktarımı kanıtı olmasına rağmen, yük veya yanal hareket faaliyeti kanıtı görülmedi.
Cevap
Soruşturmanın oluşturulması
Olay müdahale süreci izlenerek soruşturma oluşturulmuştur. Soruşturma, olayın tanımlanmasını, olayın temel nedeninin bulunmasını ve uzlaşma Göstergelerini içeriyordu. Ardından, hafifletme/iyileştirme adımları konusunda müşteriye önerilerde bulunduk. Gerekli aksiyonların alınması için müşteri ile iletişime geçildi. Önerilen hafifletme adımları şunlardı:
- Kötü amaçlı IP’yi engelleme
- SSH parola doğrulamasını devre dışı bırakma (mümkünse)
- Parolaları cihaz için daha güçlü parolalarla değiştirme.
Olay müdahalesi, siber güvenlik ihlallerini/olaylarını veya siber saldırıları yönetmeye yönelik organize bir yaklaşım ve süreçtir. Birden fazla adım içerir:
- Bir olayı/saldırıyı belirleme
- Hasarı en aza indirme
- Temel nedeni ortadan kaldırmak
- Kurtarma maliyetinin ve süresinin en aza indirilmesi
- Olaydan ders çıkarmak
- önleyici tedbir almak
FortiGuard Labs tarafından yayınlanan analize göre, Rapperbot geliştiricileri kodlarını kalıcılığı korumak için geliştirdiler, bu da onu diğer Mirai değişkenlerinden ayırıyor. Davetsiz misafirler, virüslü varlıkları yeniden başlattıktan veya kötü amaçlı yazılımı kaldırdıktan sonra bile, virüslü varlıklara SSH aracılığıyla sürekli olarak erişebilir. Bu nedenle, cihazı yeniden başlatmak veya kötü amaçlı yazılımları kaldırmak kalıcı bir azaltma seçeneği değildir.
Rapperbot’un birincil tehdidi, SSH’nin kimlik bilgilerini kaba bir şekilde zorlamak. SSH parola kimlik doğrulamasını devre dışı bırakarak (mümkünse) veya aygıt için parolaları daha güçlü parolalarla değiştirerek, Rapperbot hafifletme kolayca yapılabilir.
Müşteri etkileşimi
Müşteri, döngüde tutulmak ve saldırı devam ederse bilgilendirilmek istedi.
Sınırlamalar ve fırsatlar
sınırlamalar
Bu araştırmada, MXDR iletilen paketlerin içini göremedi. Ortamdaki ağ akışlarının görünür olmamasının bir sonucu olarak, MXDR’nin müşteri ortamına erişimi sınırlıdır. Ancak MXDR, veri aktarımının güvenliği ihlal edilmiş cihazdaki ana yük ikili dosyasını içerebileceğinden şüpheleniyordu.
reklam