Egy potenciálisan újszerű fenyegetés szereplője nemrégiben kompromittált kettőt Közel-keleti székhelyű távközlési szervezetek, két hátsó ajtót használ, korábban nem látott módszerekkel, hogy lopakodva töltsön be rosszindulatú shellkódot a célrendszerre.
A Dark Readinggel megosztott jelentésben a Cisco Talos „ShroudedSnooper”-nek nevezte el a behatolási halmazt, mivel nem tudta összefüggésbe hozni a tevékenységet egyetlen korábban azonosított csoporttal sem.
A ShroudedSnooper két hátsó ajtót – „HTTPSnoop” és „PipeSnoop” – alkalmaz kiterjedt észlelési mechanizmusokkal, beleértve a népszerű szoftvertermékeknek való álcázást és a Windows szerverek alacsony szintű összetevőinek megfertőzését. A beültetést követően shellkódot hajtanak végre, hogy a kibertámadók állandó támpontot biztosítsanak az áldozatok hálózatán, és oldalirányú mozgás, adatok kiszűrése vagy további rosszindulatú programok eldobása.
„Meg kell mondanom: ezek rendkívül lopakodók” – mondja Vitor Ventura, a Cisco Talos vezető biztonsági kutatója. „Láthatóan elrejtőznek. És hihetetlenül nehéz megkülönböztetni a rossz viselkedésüket a jótól. Ez elég okos."
Új háttérajtó fenyegetés: HTTPSnoop
Nem világos, hogyan érhető el a ShroudedSnooper behatolás, bár a kutatók azt feltételezik, hogy a támadók valószínűleg sebezhető, internetre néző szervereket használnak ki, mielőtt a HTTPSnoop-ot – akár dinamikus hivatkozási könyvtárként, akár végrehajtható fájlként csomagolva – használnák a kezdeti hozzáférés megszilárdításához.
Ahelyett, hogy a hagyományos utat választaná egy webhéj eldobása egy célzott Windows-kiszolgálón a HTTPSnoop lopakodóbb, körültekintőbb megközelítést alkalmaz, alacsony szintet használva Windows API-k közvetlenül a HTTP szerverrel való interfészhez egy megcélzott rendszerben.
Mint egy parazita, kernelszintű hozzáférést használ, hogy meghatározott HTTP(S) URL-mintákhoz kötődjön, majd figyeli a bejövő kéréseket. Ha a bejövő HTTP-kérés egy adott mintának felel meg, akkor dekódolja a kérésben szereplő adatokat.
„Alapvetően azt csinálják, hogy visszaélnek egy funkcióval. Így működnek a Windows webszerverek” – mondja Ventura, majd hozzáteszi, hogy „korábban nem láttam ilyen visszaélést implantátumok építésével kapcsolatban”.
A lopakodáshoz a kérdéses URL-minták gyakran megfelelnek a népszerű, hagyományos szoftvertermékeknek. Például Ventura azt mondja: „még ha egy elemző megnézi is az URL-eket, akkor is úgy tűnik, szokásos Outlook webmail. Figyelniük kell, hacsak nem tudják pontosan, mit keresnek.”
A HTTP-kérésekből dekódolt adatok természetesen rosszindulatú shellkódok lesznek, amelyek ezután a fertőzött eszközön végrehajtásra kerülnek.
A ShroudedSnooper megállításának nehézségei
Májusban a ShroudedSnoop támadói kifejlesztették a HTTPSnoop „PipeSnoop” nevű frissítését. Testvéréhez hasonlóan célja, hogy lehetővé tegye tetszőleges shellkód futtatását a célvégponton, de egy már létező csőből – a folyamatok közötti kommunikációhoz (IPC) használt megosztott memória egy részéből – olvas és ír.
A kíváncsi tekintetek további elkerülése érdekében meg kell jegyezni, hogy mindkét Snoop futtatható fájlba van csomagolva, utánozva A Palo Alto Networks Cortex XDR alkalmazása.
Az, hogy az amúgy is lopakodó HTTPSnoop-ot továbbfejlesztik, csak azt mutatja, hogy milyen nehéz lenne a távközlésnek azonosítani és kivágni ezeket a hátsó ajtókat.
„Természetesen az áldozatok kereshetik. Ellenőrizhetik, hogy mely URL-címek vannak regisztrálva a webszerveren, és megpróbálhatják megnézni, hogy mely visszahívásokat hívják, és mely DLL-ek vannak társítva ezekhez a visszahívásokhoz. De hát ez igazságügyi szakértői munka, amelyet nem olyan könnyű ténylegesen végrehajtani élő produkciós rendszereken” – magyarázza Ventura.
„Tehát azt mondanám, hogy a megelőzés valóban kulcsfontosságú tényező ebben” – összegzi. Ahelyett, hogy megpróbálnák magukat a hátsó ajtókat legyőzni, „mivel ehhez bizonyos szintű kiváltságok szükségesek, a vállalatok használhatják a rendelkezésükre álló eszközöket, hogy a rosszindulatú program beültetése előtt észleljék a korábbi lépéseket, mert ezekhez nagy szükség van. kiváltságokat.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/dr-global/shroudedsnooper-backdoors-ultra-stealth-mideast-telecom-attacks
- :is
- :nem
- a
- képesség
- visszaélés
- hozzáférés
- elért
- tevékenység
- tulajdonképpen
- hozzá
- hozzáadásával
- További
- újra
- célok
- már
- an
- elemző
- és a
- bármilyen
- megközelítés
- VANNAK
- AS
- társult
- At
- Támadások
- figyelem
- hátsó ajtó
- Hátsóajtó
- Rossz
- Alapvetően
- BE
- mert
- előtt
- hogy
- kötődik
- mindkét
- épít
- de
- by
- hívott
- TUD
- bizonyos
- ellenőrizze
- Cisco
- hogyan
- közlés
- Companies
- alkatrészek
- Veszélyeztetett
- hagyományos
- kéreg
- tudott
- tanfolyam
- sötét
- Sötét olvasmány
- dátum
- bizonyítani
- fejlett
- eszköz
- nehéz
- Nehézség
- közvetlenül
- különbséget tesz
- do
- Ennek
- csinált
- Csepp
- könnyű
- bármelyik
- alkalmaz
- lehetővé
- Endpoint
- Eter (ETH)
- Még
- pontosan
- példa
- kivégez
- végrehajtott
- Elmagyarázza
- Exploit
- kiterjedt
- rendkívüli módon
- Szemek
- tényező
- Funkció
- filé
- Fájlok
- A
- Törvényszéki
- ból ből
- további
- Ad
- jó
- Csoportok
- Kemény
- Legyen
- he
- elrejt
- Magas
- Hogyan
- http
- HTTPS
- i
- azonosított
- azonosítani
- if
- in
- Beleértve
- Bejövő
- hihetetlenül
- kezdetben
- Felület
- IT
- ITS
- maga
- jpg
- éppen
- Kulcs
- kulcstényező
- Kedves
- Ismer
- vezet
- szint
- könyvtár
- mint
- Valószínű
- él
- betöltés
- keres
- malware
- Lehet..
- mechanizmusok
- Megfelel
- Memory design
- mód
- több
- Nevezett
- szükséges
- hálózatok
- neves
- regény
- of
- gyakran
- on
- egyszer
- csak
- or
- Outlook
- becsomagolt
- Mintás
- minták
- Fizet
- teljesít
- cső
- Hely
- Egyszerű
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- potenciálisan
- szép
- Megelőzés
- előző
- korábban
- kiváltság
- kiváltságok
- Termelés
- Termékek
- kérdés
- Inkább
- RE
- Olvasás
- tényleg
- nemrég
- nyilvántartott
- jelentést
- kérni
- kéri
- szükség
- kutató
- kutatók
- Útvonal
- futás
- s
- azt mondják
- azt mondja,
- Keresés
- Rész
- biztonság
- lát
- látszik
- látott
- szerver
- szolgálja
- készlet
- megosztott
- Héj
- kellene
- Látás
- So
- szoftver
- különleges
- Lopakodás
- titkos
- Lépései
- megállítás
- rendszer
- Systems
- tart
- bevétel
- Talos
- cél
- célzott
- távközlési
- távközlés
- távközlési
- mint
- hogy
- A
- azok
- maguk
- akkor
- Ott.
- Ezek
- ők
- ezt
- azok
- bár?
- fenyegetés
- nak nek
- szerszámok
- hagyományos
- megpróbál
- próbál
- kettő
- frissítés
- frissített
- URL
- használ
- használt
- használ
- segítségével
- áldozatok
- Sebezhető
- háló
- webszerver
- Mit
- ami
- lesz
- ablakok
- val vel
- belül
- Munka
- lenne
- írás
- XDR
- zephyrnet