Düzinelerce kuruluş, ayak izini en aza indirmek için bir paket sniffing tekniği kullanan yönlendirici kötü amaçlı yazılımlarla bulaşmıştır.
Onlardan ziyade Çok daha popüler Cisco muadilleriBlack Lotus Labs’ın “J-Magic” adlı kampanya, yüksek değerli ağların kenarındaki ardıç markası yönlendiricilerini geliştiriyor. Maruz kalan işletme yönlendiricileri, bir aktivasyon cümlesi-“sihirli bir paket” alana kadar uykuda kalan çeyrek yüzyıl eski arka kapılı “CD00R” nin bir varyantıyla dokunulur. Ancak o zaman, saldırganlarının veri çalabileceği, konfigürasyonları manipüle edebileceği ve daha fazla cihaza yayılabileceği bir ters kabuğa erişim sağlar.
“Çok fazla vurgu yapıldı Küçük Ofis/Ev Ofisi (SOHO) Cihazlarıancak saldırganlar kurumsal alanda aktiftir, “Black Lotus laboratuvarlarıyla ana bilgi güvenlik mühendisi Danny Adamitis uyarıyor.” Sadece uç nokta tespiti ve yanıtı olmayan bu cihazlarda yaşıyorlar (EDR) , bu bir güvenlik duvarının önünde ve gerçekten Sysmon gibi şeyleri çalıştırmayın, bu yüzden insanların bu saldırıları tespit etmesi biraz daha zor. “
Arka kapı kötü amaçlı yazılım ardıç yönlendiricilerini istila ediyor
Hackerların etkilenen yönlendiricilere ilk erişimi nasıl elde ettikleri bilinmemektedir, ancak sömürdükleri açıklıklar açıktır. J-Magic tarafından mağdur edilen ardıç yönlendiricilerinin yaklaşık yarısı, sanal özel ağ (VPN) ağ geçitleri olarak yapılandırıldı ve diğer yarısı, yöneticilerin ağ ayarlarını uzaktan yönetmesine ve yapılandırmasına izin veren açık ağ yapılandırma protokolü (NetConf) bağlantı noktaları var, ancak saldırganlara izin veriyor gizlice yapmak ve aynı şeyi yapmak. Bu yönlendiriciler, çok daha büyük ağlar için giriş ve kontrol noktası olarak hizmet etti ve saldırganlara kötü niyetli işleri için geniş bir tuval sağladı.
Bu ödüllü cihazlardan yararlanmak için saldırganlar, kötü amaçlı yazılımlarını CD00R’lerini, kenar cihazına giren tüm TCP trafiğini gözlemleyebileceği bir konuma yüklüyor. Daha sonra, bir aktivasyon ifadesi gibi hareket eden son derece spesifik koşulları karşılayan önceden tanımlanmış beş paketten birinin bekler. Bu ön ayarlardan birini karşılayan bir paket alındığında, program Sihirli Pakette belirtilen bağlantı noktasından saldırganın IP adresine bağlı bir ters kabuk oluşturacaktır.
Teknik çalışır, çünkü savunucuların Edge kötü amaçlı yazılımları almak için zaten sınırlı yöntemleri atlatır. Tipik bir enfeksiyonda Adamitis, “Bir güvenlik duvarından veya yönlendiriciden gelen trafiği izleyebiliyorsanız, belirli bir aralıkta meydana gelen bir işaret olduğunu görebilirsiniz. Ve bir zaman serisi analizi gerçekleştirirseniz, görebilirsiniz. Bu aralıkla sürekli olarak ortaya çıkıyor.
Yine de J-Magic saldırısı, Magic Packet’in alımı üzerine tamamen tamamlanmıyor. İşleyicinin amaçlanan saldırgan olduğunu doğrulamak için – sadece çalışmalarında piggyback yapmaya çalışan bir yoldan geçen değil – CD00R, sert kodlanmış bir genel anahtarla şifrelenmiş bir “meydan okuma” dize gönderir. Yalnızca saldırgan bu testi geçerse – diziyi ilişkili özel anahtarlarını kullanarak geri döndürerek – ters kabuk üzerinde kontrol elde ederler ve enfekte cihazı kontrol etme, kurumsal verileri çalma ve daha fazla kötü amaçlı yazılım dağıtma gücü yaparlar.
Bu J-Magic enfeksiyonlarının kanıtı Eylül 2023’e kadar uzanmaktadır, ancak vakaların çoğunluğu 2024 ilkbahar ve yazında ortaya çıkmış gibi görünmektedir. O yıl içinde CD00R ABD, İngiltere, Rusya, Norveç’e yayılmıştır. Hindistan ve aralarındaki daha fazla ülke, inşaat, biyomühendislik, sigorta ve BT hizmetlerindeki kuruluşları etkileyen diğer ülke.
Edge Network Siber Güvenliğinde Kör Nokta
Kolayca gözden kaçan CD00R’nin yeni özelliklerle güncellenmesine rağmen 25 yaşındaki bir program olması. Başlangıçta 2000 yılında, bilgi güvenliği web sitesi paket fırtınasında “görünmez” bir arka kapı için bir kavram kanıtı (POC) olarak geliştirildi ve piyasaya sürüldü.
Böyle eski ve bazı açılardan atavisti, 2025’te hala yeterli yazılımın, Edge Networks’te ne kadar saldırgandan kurtulabileceğinden bahsediyor.
“Kurumsal dizüstü bilgisayarınızda muhtemelen Windows Defender’ınız ve en sevdiğiniz EDR satıcısınızdan bir şey var. Son kullanıcı iş istasyonları için çok fazla satıcı olma eğilimindedir, ancak Edge cihazlarının gerçekten bir şeyleri yoktur. Yani Bu kör noktalarda, saldırganlar bu 20 yaşındaki kötü amaçlı yazılımları kullanmaktan kurtulabilirler, çünkü o cihazda bu tür kullanıcı etkileşimini gerçekten yakalamak için hiç kimse ve hiçbir şey yoktur, “diyor Adamitis.
“Bu tür işletme sınıfı yönlendiriciler etrafındaki raporlar çok daha seyrek olma eğilimindedir.” “Söylemeye çalıştığımız: Çevresinde bu düşük görünürlük noktası olabileceğini düşünüyoruz.”
