Bilgisayar korsanlarının geçen yaz ABD’de çok sayıda Federal Sivil Yürütme Şubesi (FCEB) teşkilat ağını ihlal etmek için iki kullanıma hazır uzaktan izleme ve yönetim sistemini (RMM’ler) akıllıca kullandıkları ortaya çıktı.
25 Ocak’ta Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Çok Devletli Bilgi Paylaşım ve Analiz Merkezi (MS-ISAC) ortak bir rapor yayınladı. danışma saldırıları detaylandırmak, siber güvenlik topluluğunu ticari RMM yazılımının kötü niyetli kullanımına karşı uyarmak ve dikkat edilmesi gereken risk azaltma önlemleri ve göstergeler sunmak.
BT hizmet sağlayıcıları, müşterilerin ağlarını ve uç noktalarını uzaktan izlemek ve yönetmek için RMM’leri kullanır. Ancak bilgisayar korsanları, ABD hükümetinin öğrendiği gibi, kurban bilgisayarlardaki tipik yazılım kontrol politikalarını ve yetkilendirme gereksinimlerini atlamak için aynı yazılımı kullanabilir.
Bilgisayar Korsanları RMM’lerle Hükümeti Nasıl İhlal Etti?
Geçen Ekim ayında, CISA geriye dönük bir analiz yaptı. Einstein – FCEB ajansları genelinde dağıtılan izinsiz giriş tespit sistemi. Araştırmacılar, belki de pazarlık ettiklerinden daha fazlasını buldular.
Geçen yıl Haziran ortasında, bilgisayar korsanları bir FCEB çalışanının resmi adresine bir kimlik avı e-postası gönderdi. E-posta, çalışandan bir telefon numarasını aramasını istedi. Numarayı aramak, kötü amaçlı bir Web adresini ziyaret etmelerine neden oldu: “myhelpcare.online.”
Etki alanını ziyaret etmek, yürütülebilir bir dosyanın indirilmesini tetikledi ve bu daha sonra ikinci bir etki alanına bağlandı; burada iki RMM – AnyDesk ve ScreenConnect (şimdi ConnectWise Control) – devreye girdi. İkinci etki alanı, hedefin makinesine AnyDesk ve ScreenConnect istemcilerini gerçekten yüklemedi. Bunun yerine, geriye gitti: programları, tehdit aktörünün sunucusuna geri bağlanacak şekilde yapılandırılmış, bağımsız, taşınabilir yürütülebilir dosyalar olarak indirmek.
Bu neden önemli? Yazar kuruluşlar, “Çünkü,” diye açıkladılar, “taşınabilir yürütülebilir dosyalar, yönetici ayrıcalıkları gerektirmez, aynı yazılımın ağ üzerindeki kurulumunu denetlemek veya engellemek için bir risk yönetimi kontrolü yürürlükte olsa bile, onaylanmamış yazılımların yürütülmesine izin verebilirler.”
Yönetici ayrıcalıkları ve yazılım kontrolleriyle alay eden tehdit aktörleri, yürütülebilir dosyayı “yerel intranet içindeki diğer savunmasız makinelere saldırmak veya yerel bir kullanıcı hizmeti olarak uzun vadeli kalıcı erişim sağlamak için” kullanabilir.
Bununla birlikte, Haziran uzlaşmasının bir buzdağının yalnızca görünen kısmı olduğu ortaya çıktı. Üç ay sonra, farklı bir FCEB ağı ile benzer bir etki alanı – “myhelpcare.cc” – arasındaki trafik gözlemlendi ve yazarlar, daha fazla analizin “diğer birçok FCEB ağındaki ilgili etkinliği tanımladığını” hatırladı.
Hükümet çalışanlarını hedef almalarına rağmen, saldırganlar finansal olarak motive olmuş gibi görünüyor. Yazarlar, hedef makinelere bağlandıktan sonra, kurbanları banka hesaplarında oturum açmaya ikna ettiler, ardından “alıcının banka hesabı özetini değiştirmek için RMM yazılımı aracılığıyla erişimlerini kullandılar” diye yazdılar. “Yanlışlıkla değiştirilmiş banka hesabı özeti, alıcıya yanlışlıkla fazla miktarda paranın iade edildiğini gösterdi. Daha sonra aktörler, alıcıya bu fazla miktarı dolandırıcılık operatörüne ‘iade etmesi’ talimatını verdi.”
Bilgisayar Korsanları RMM’leri Neden Seviyor?
Bilgisayar korsanlarının meşru yazılımları meşru olmayan amaçlar için kullanma konusunda uzun bir geçmişi vardır. En popüler olanı, siber savunucuların kendi sistemlerini test etmek için kullandıkları, ancak düşmanca bir bağlamda aynı şekilde sorunsuz bir şekilde uygulanabilecekleri, Cobalt Strike ve Metasploit gibi kırmızı ekip araçlarıdır.
Siber güvenlikle bariz bir ilişkisi olmayan yazılımlar bile kötülük için yeniden kullanılabilir. Sadece bir örnek olarak, Kuzey Kore bilgisayar korsanlığı kümelerinin spam filtrelerini geçerek kimlik avı yemleri göndermek için e-posta pazarlama hizmetlerini ele geçirdiği gözlemlendi.
Bu durumda, RMM’ler son yıllarda her yerde bulunur hale geldi ve onları kullanan saldırganların göz önünde saklanmalarının kolay bir yolunu sağladı. Yine de, her şeyden çok, bilgisayar korsanlarının kendi avantajlarına çevirdiği şey, RMM’lerin normal işlevlerini yerine getirmek için ihtiyaç duyduğu özerklik derecesidir.
KnowBe4 güvenlik bilinci savunucusu Erich Kron, Dark Reading’e “Birçok RMM sistemi, işletim sisteminde yerleşik olan araçları kullanır” diye açıklıyor. “Bunlar ve amaca yönelik oluşturulmuş RMM araçları, tipik olarak çok yüksek düzeyde sistem erişimine sahiptir ve bu da onları saldırganlar için çok değerli kılar.”
Kron, “Soruna ek olarak,” diyor, “RMM araçları, yanlış pozitifleri tetikleyebildikleri ve meşru işlerini yaparken kötü niyetli ve olağandışı görünebildikleri için genellikle güvenlik izlemesinin dışında tutulur.”
Birlikte eklendiğinde, “normal bilgi işlem işlemleriyle karıştıkları için etkinlikleri tespit etmeyi çok daha zorlaştırıyor” diye ekliyor. Aradaki farkı bulmayı başaran kuruluşlar, RMM’lerin aynı sistemler üzerinde meşru kullanımını sürdürürken, RMM’lerin kötü niyetli kullanımını önlemede daha fazla baş ağrısı bulacaktır.
O halde, daha fazla bilgisayar korsanının bu programları saldırı akışlarına dahil etmesi şaşırtıcı değil. 26 Ocak’ta raporlamak 2022’nin dördüncü çeyreğine ait olay yanıtı bulgularını kapsayan Cisco Talos, tüm etkileşimlerin yaklaşık %30’unda karşılaştıkları bir RMM olan Syncro’yu özel olarak not etti.
Talos araştırmacıları, “önceki çeyreklere kıyasla önemli bir artış” olduğunu açıkladı. “Syncro, rakiplerin güvenliği ihlal edilmiş ana bilgisayarlara uzaktan erişim sağlamak ve sürdürmek için kullandığı AnyDesk ve SplashTop dahil olmak üzere diğer birçok uzaktan erişim ve yönetim aracı arasındaydı.”
NSA, CISA ve MS-ISAC, bildirimlerini sonlandırmak için, ağ savunucularının RMM etkin saldırılarla mücadele etmek için atabilecekleri adımları önerdiler:
- Kimlik avı konusunda iyi hijyen ve farkındalık,
- Ağınız üzerindeki uzaktan erişim yazılımlarının ve sadece belleğe yüklenip yüklenmediğinin tespiti,
- Taşınabilir yürütülebilir bir dosya olarak çalışan yetkisiz RMM’lere karşı kontroller uygulamak ve bunları denetlemek,
- RMM’lerin yalnızca onaylanmış sanal özel ağlar ve sanal masaüstü arabirimleri üzerinde kullanılmasını zorunlu kılmak ve
- Ağ çevresindeki ortak RMM bağlantı noktalarında ve protokollerinde bağlantıları engelleme.