Bu ay MITRE, ATT&CK veritabanına Kuzey Koreli tehdit aktörleri tarafından yaygın olarak kullanılan iki alt teknik ekleyecek.
birincisi, tamamen yeni olmayan bir alt teknik içerir Şeffaflık, Rıza ve Kontrol’ün (TCC) manipülasyonuApple’ın macOS’undaki uygulama izinlerini düzenleyen bir güvenlik protokolü.
Diğeri – denir “hayalet” dinamik bağlantı kitaplığının (DLL) ele geçirilmesi — Bilgisayar korsanlarının Windows’ta referans verilen ancak var olmayan DLL dosyalarından yararlandığı, DLL ele geçirmenin daha az bilinen bir alt kümesidir.
Hem TCC manipülasyonu hem de hayalet DLL ele geçirme, Kuzey Koreli bilgisayar korsanlarının sırasıyla macOS ve Windows ortamlarına ayrıcalıklı erişim elde etmelerine ve bu ortamlarda casusluk ve diğer istismar sonrası eylemleri gerçekleştirebilmelerine olanak tanıdı.
TCC Manipülasyonu
Interpres Security’de tehdit istihbarat mühendisi Marina Liang, “Kuzey Kore fırsatçı” diyor. “Casusluk ve gelir elde etmek gibi ikili bir amaçları var, bu yüzden hedeflerinin olduğu yere bakacaklar. Ve macOS’un popülaritesi arttığı için, dönmeye başladıkları yer burası“
Kuzey Kore’nin gelişmiş kalıcı tehditlerinin (APT’ler) son zamanlarda Mac’leri ihlal etmesinin bir yolu, uygulama izinlerini kontrol etmek için önemli bir çerçeve olan TCC’dir.
TCC, kullanıcı ve sistem düzeyinde bir veritabanına sahiptir. İlki izinlerle korunur (bir kullanıcının Tam Disk Erişimi (FDA) veya benzer bir şeye ihtiyacı vardır) ve ikincisi, ilk olarak macOS Sierra ile sunulan bir özellik olan Sistem Bütünlüğü Koruması (SIP) tarafından korunur. Teorik olarak ayrıcalıklar ve SIP, kötü niyetli TCC erişimine karşı koruma sağlar.
Ancak pratikte her birinin baltalanabileceği senaryolar vardır. Örneğin yöneticiler ve güvenlik uygulamaları, FDA’nın düzgün çalışması için gerekli olabilir. Kullanıcıların SIP’yi atlattığı zamanlar da vardır.
Liang, “Geliştiriciler makinelerinde esnekliğe ihtiyaç duyduklarında veya işletim sistemi tarafından engellendiklerinde, Apple’ın kodlama ve yazılım oluşturmalarına olanak tanıyan kontrollerini azaltabilirler” diye açıklıyor. “Anekdot olarak, geliştiricilerin sorun giderme ekibinin neyin mevcut olduğunu anlamaya çalışacağını gördüm [on the system]ve sorunun çözülüp çözülmediğini görmek için devre dışı bırakın.”
SIP kapatıldığında veya FDA açıldığında, saldırganların TCC veritabanına erişebilecekleri ve kullanıcıyı uyarmadan kendilerine izin verebilecekleri bir pencere vardır.
Potansiyel olarak TCC’den geçmenin başka yolları da vardır. Örneğin, /tmp gibi bazı hassas dizinler tamamen TCC’nin alanının dışında kalır. Finder uygulamasında FDA varsayılan olarak etkindir ve kullanıcının Güvenlik ve Gizlilik penceresinde listelenmez; bu, kullanıcının bağımsız olarak farkında olması ve izinlerini manuel olarak iptal etmesi gerektiği anlamına gelir. Saldırganlar, kullanıcıları güvenlik kontrollerini devre dışı bırakmaya yönlendirmek için sosyal mühendisliği de kullanabilir.
Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET ve VirusTotal’da kayıtlı diğer isimsiz macOS Truva Atları dahil olmak üzere bir dizi kötü amaçlı yazılım aracı TCC’yi manipüle etmek için tasarlanmıştır. Liang, erişim tablosunu TCC veritabanından boşaltmaya çalışan Lazarus Group kötü amaçlı yazılımını tespit etti ve APT37’den CloudMensis (InkSquid, RedEyes, BadRAT, Reaper veya ScarCruft olarak da bilinir) kendi kötü amaçlı veritabanını yüklemek için SIP’nin nerede devre dışı bırakıldığını inatla belirlemeye çalışır.
Dark Reading, TCC ihlallerine ilişkin bir açıklama için Apple ile temasa geçti ve herhangi bir yanıt alamadı.
Saldırganların TCC’den yararlanmasını engellemek için en önemli şey SIP’i etkin tutmaktır. Kısacası Liang, sisteminizde hangi uygulamaların hangi izinlere sahip olduğunu bilmenin gerekliliğini vurguluyor. “Bu, neye izin verdiğinizin farkında olmaktır. Ve sonra – açıkçası söylemesi yapmaktan daha kolay – egzersiz yapmak [the principle of] en az ayrıcalıklı [access]. Belirli uygulamaların çalışması için mutlaka belirli izinlere ihtiyacı yoksa bunları kaldırın” diyor.
Hayalet DLL Ele Geçirme
APAC bölgesindeki tehdit aktörleri, TCC’deki güvenlik açıklarının yanı sıra Windows’taki daha da garip bir kusurdan yararlanıyor. Bazı nedenlerden dolayı, işletim sistemi aslında var olmayan bir dizi DLL dosyasına başvuruyor.
Liang, “Onlardan bir ton var” diye hayret ediyor. “Belki birileri belirli amaçlar için belirli DLL’ler oluşturmak üzere bir proje üzerinde çalışıyordu ve belki de proje rafa kaldırılmıştı, yeterli kaynakları yoktu ya da unutmuştu.”
Dark Reading bu noktaya açıklık getirmek için Microsoft’a ulaştı.
Bir bilgisayar korsanı için “hayalet” DLL dosyası olarak adlandırılan dosya boş bir tuval gibidir. Basitçe aynı adla kendi kötü amaçlı DLL’lerini oluşturabilir ve bunları aynı konuma yazabilirler ve kimsenin haberi olmadan işletim sistemi tarafından yüklenirler.
Lazarus Grubu ve APT 41 (diğer adıyla Winnti, Barium, Double Dragon) bu taktiği, İnternet protokolü güvenliği kapsamında kimlik doğrulama ve anahtar değişimi için gerekli bir hizmet olan IKEEXT ile kullandı. IKEEXT tetiklendiğinde var olmayan “wlbsctrl.dll” dosyasını yüklemeye çalışır. APT41 ayrıca Windows Yönetim Araçları (WMI) sağlayıcı ana bilgisayarı tarafından yüklenen “wbemcomn.dll” gibi diğer hayalet DLL’leri de hedef aldı.
Windows kendisini hayalet DLL’lerden kurtarana kadar Liang, şirketlerin izleme çözümleri çalıştırmasını, proaktif uygulama kontrolleri dağıtmasını ve Windows Server’da varsayılan olarak bulunan bir özellik olan DLL’lerin uzaktan yüklenmesini otomatik olarak engellemesini şiddetle tavsiye ediyor.
