Potansiyel olarak yeni bir tehdit aktörü yakın zamanda Orta Doğu merkezli iki telekomünikasyon kuruluşunun güvenliğini ihlal etti ve daha önce görülmemiş yöntemlere sahip iki arka kapı kullanarak kötü amaçlı kabuk kodunu hedef sisteme gizlice yükledi.
Cisco Talos, Dark Reading ile paylaşılan bir raporda, aktiviteyi önceden tanımlanmış herhangi bir grupla ilişkilendiremediği için izinsiz giriş setini “ShroudedSnooper” olarak adlandırdı.
ShroudedSnooper, popüler yazılım ürünleri gibi görünme ve Windows sunucularının düşük seviyeli bileşenlerine bulaşma dahil olmak üzere kapsamlı anti-algılama mekanizmalarına sahip “HTTPSnoop” ve “PipeSnoop” olmak üzere iki arka kapı kullanır. Yerleştirildikten sonra, yanal hareket etme, veri sızdırma veya ek kötü amaçlı yazılım bırakma yeteneğiyle siber saldırganlara kurbanların ağlarında kalıcı bir dayanak sağlamak için kabuk kodunu çalıştırırlar.
Cisco Talos’un baş güvenlik araştırmacısı Vitor Ventura, “Şunu söylemeliyim ki bunlar son derece gizli” diyor. “Göz önünde saklanacaklar. Ve onların kötü davranışlarını iyi olanlardan ayırmak inanılmaz derecede zor. Bu oldukça akıllıca.”
Yeni Arka Kapı Tehdidi: HTTPSnoop
ShroudedSnooper izinsiz girişlerinin nasıl başarıldığı belli değil, ancak araştırmacılar, saldırganların ilk erişimi güçlendirmek için dinamik bağlantı kitaplığı veya yürütülebilir bir dosya olarak paketlenmiş HTTPSnoop’u kullanmadan önce muhtemelen savunmasız, İnternet’e bakan sunuculardan yararlandığını tahmin ediyor.
HTTPSnoop, hedeflenen bir Windows sunucusuna bir Web kabuğu bırakmak gibi geleneksel rotayı kullanmak yerine, hedeflenen sistemdeki HTTP sunucusuyla doğrudan arayüz oluşturmak için düşük seviyeli Windows API’lerini kullanarak daha gizli, daha dolambaçlı bir yaklaşım benimser.
Bir parazit gibi, kendisini belirli HTTP(S) URL kalıplarına bağlamak için çekirdek düzeyindeki erişimi kullanır ve ardından gelen istekleri dinler. Gelen HTTP isteği belirli bir modeli karşılıyorsa istekteki verilerin kodunu çözer.
Ventura, “Temel olarak yaptıkları şey, bir özelliği kötüye kullanmak. Windows Web sunucuları bu şekilde çalışıyor” diyor Ventura ve ekliyor: “Daha önce implant yapmak için bu tür bir kötüye kullanımın yapıldığını görmemiştim.”
Gizliliğe ek olarak, söz konusu URL kalıpları genellikle popüler, geleneksel yazılım ürünlerine uygundur. Örneğin Ventura şöyle diyor: “Bir analist URL’lere bakıyor olsa bile, bu normal Outlook web postası gibi görünecektir. Tam olarak ne aradıklarını bilmedikleri sürece dikkat etmeleri gerekecektir.”
HTTP isteklerinden kodu çözülen bu veriler, doğal olarak kötü amaçlı kabuk kodu olacak ve bu daha sonra virüslü cihazda yürütülecektir.
ShroudedSnooper’ı Durdurmanın Zorluğu
Mayıs ayında ShroudedSnoop saldırganları HTTPSnoop’a yönelik bir yükseltme olan “PipeSnoop”u geliştirdiler. Kardeşi gibi, keyfi kabuk kodunun hedef uç noktada çalışmasını sağlamayı amaçlıyor, ancak bunu önceden var olan bir kanaldan okuyarak ve ona yazarak – süreçler arası iletişim (IPC) için kullanılan paylaşılan hafızanın bir bölümü) yapıyor.
Meraklı gözlerden kaçınmak için her iki Snoop’un da Palo Alto Networks’ün Cortex XDR uygulamasını taklit eden yürütülebilir dosyalar halinde paketlenmiş olarak geldiğini belirtmek gerekir.
Halihazırda gizlilik yüklü olan HTTPSnoop’un daha da yükseltilmesi, telekomünikasyon şirketlerinin bu arka kapıları tespit edip ortadan kaldırmasının ne kadar zor olacağını göstermeye hizmet ediyor.
“Elbette kurbanlar bunu arayabilirler. Web sunucusunda hangi URL’lerin kayıtlı olduğunu kontrol edebilirler ve hangi geri aramaların çağrıldığını ve hangi DLL’lerin bu geri aramalarla ilişkili olduğunu görmeye çalışabilirler. Ama yine de bu bir adli çalışmadır ve bu da Ventura, bunu canlı prodüksiyon sistemlerinde gerçekleştirmek aslında o kadar da kolay değil” diye açıklıyor.
“Dolayısıyla önlemenin bu konuda gerçekten çok önemli bir faktör olduğunu söyleyebilirim” diye bitiriyor. Şirketler, arka kapıları kendileri yenmeye çalışmak yerine, “bunu yapmak için belirli bir ayrıcalık düzeyine ihtiyaç duyulduğundan, kötü amaçlı yazılım yerleştirilmeden önceki önceki adımları tespit etmek için sahip oldukları araçları kullanabilirler, çünkü bunlar yüksek düzeyde gerektirir. ayrıcalıklar.”
