g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Nisan 2019'un sonunda, ESET araştırmacıları olağandışı davranışlar gözlemledi: Plead kötü amaçlı yazılımını dağıtmak için birden fazla girişim. APT organizasyonu blacktech tarafından kullanılıyor

Bu sefer aynı organizasyondu ve kısa süre önce tedarik zinciri saldırısını kıran ASUS'u piyasaya sürdü.

Önceki ASUS olayı: ShaHmer Operasyonu: Şüpheli Hua X Bilgisayar Şirketi, hedefli bir tedarik zinciri saldırısına maruz kaldı

Bu güvenlik olayı nasıl gelişti, birlikte öğrenelim.

* Bu saldırı keşfedildi ve ESET tarafından açıklandı.

Nisan 2019'un sonunda, ESET araştırmacıları olağandışı davranışlar gözlemledi: Plead kötü amaçlı yazılımını dağıtmak için birden fazla girişim.

Özellikle, Plead arka kapısı AsusWSPanel.exe adlı yasal bir işlem tarafından oluşturulur ve yürütülür.

Bu program, ASUS WebStorage adlı bulut depolama hizmeti için bir Windows istemcisidir.

Yani ASUS bulut depolama yazılımı.

Muhtemelen bu şeyler

https://www.asuswebstorage.com/

Şekil 1'de gösterildiği gibi, yürütülebilir dosya ASUS Cloud Corporation tarafından dijital olarak imzalanmıştır.

Gözlenen tüm Plead örnekleri aşağıdaki dosya adlarına sahiptir:

Asus Webstorage Upate.exe

Araştırmalar, ASUS WebStorage'ın AsusWSPanel.exe modülünün, Şekil 2'de gösterildiği gibi yazılım güncelleme işlemi sırasında bu tür dosya adlarıyla dosyalar oluşturabildiğini göstermektedir.

Orijinal metinden yola çıkarak ESET, normal imzaya sahip bir yazılımın neden kötü amaçlı yazılım teslim edeceğini doğrulamayabilir, bu nedenle aşağıdaki iki olası saldırı senaryosunu verirler. (Blackbird ikinci sahnenin çok muhtemel olduğunu düşünüyor)

Senaryo 1 - Tedarik Zinciri Saldırısı

Tedarik zinciri, saldırganlara aynı anda çok sayıda hedefi sessizce imha etmeleri için sınırsız fırsatlar sunar: tedarik zinciri saldırılarının sayısının artmaya devam etmesinin nedeni budur.

Kötü amaçlı yazılım araştırmacıları için belirli tedarik zinciri saldırılarını tespit etmek ve onaylamak her zaman kolay değildir; bazen bunu kanıtlamak için yeterli kanıt yoktur.

Araştırmacılar, ASUS WebStorage tedarik zinciri saldırıları olasılığını değerlendirirken, aşağıdaki noktalar dikkate alınmalıdır:

1. İmzalı ASUS WebStorage yazılımı aynı güncelleme mekanizması ile güncellenir

2. Şu anda, araştırmacı ASUS WebStorage sunucusunun bir C&C sunucusu veya merkezi olmayan kötü amaçlı yazılım olarak kullanıldığını bilmiyor.

3. Saldırganlar, yasal yazılıma kötü amaçlı işlevler eklemek yerine bağımsız kötü amaçlı yazılım dosyaları kullanır

Bu nedenle, tedarik zinciri saldırılarının hipotezi daha az olasıdır, ancak gerçekleşme olasılığı göz ardı edilmemiştir.

Senaryo 2-Ortadaki adam saldırısı

ASUS WebStorage yazılımı, ortadaki adam saldırılarına (MitM) karşı savunmasızdır.

Yazılımları, yazılım güncellemelerini istemek ve iletmek için HTTP kullanır:

Güncellemeyi indirdikten ve yürütme için hazırlandıktan sonra, yazılım çalıştırılmadan önce gerçekliğini doğrulamayacaktır.

Bu nedenle, güncelleme işlemi saldırganlar tarafından durdurulursa, kötü amaçlı güncellemeler gönderebilirler.

Trend Micro'nun araştırmasına göre, Plead kötü amaçlı yazılımının arkasındaki saldırganlar, savunmasız yönlendiricileri hackliyor ve hatta bunları kötü amaçlı yazılım için C&C sunucuları olarak kullanıyor.

Araştırma, etkilenen kuruluşların çoğunun aynı üretici tarafından yapılmış yönlendiricilere sahip olduğunu ve ayrıca bu yönlendiricilerin yönetim panellerine İnternet'ten erişilebildiğini ortaya çıkardı.

Bu nedenle araştırmacılar, bir yönlendirici aracılığıyla ortadaki adam saldırısının en olası senaryo olduğuna inanıyor.

Yukarıda belirtildiği gibi, ASUS WebStorage yazılımı, güncelleme talep etmek için HTTP kullanır. Özellikle, XML biçiminde bir yanıt gönderen update.asuswebstorage.com sunucusuna bir istek gönderir.

XML yanıtındaki en önemli unsurlar kılavuz ve bağlantıdır. GUID öğesi şu anda mevcut sürümü içerir;

Bağlantı öğesi, güncelleme için indirme URL'sini içerir.

Güncelleme işlemi basittir: yazılım, kurulu sürümün en son sürümden daha eski olup olmadığını kontrol eder;

Öyleyse, Şekil 3'te gösterildiği gibi dosyanın indirilmesini istemek için sağlanan URL'yi kullanır.

Bu nedenle saldırgan, bu iki öğeyi kendi verileriyle değiştirerek güncelleme davranışını tetikleyebilir.

Aşağıdaki gerçek gözlemlenen sahnedir. Şekil 4'te gösterildiği gibi, saldırgan, güvenliği ihlal edilmiş gov.tw etki alanındaki kötü amaçlı dosyaya işaret eden yeni bir URL ekledi.

Şekil 5, tehlikeye atılan yönlendirici aracılığıyla hedefe kötü amaçlı yükleri göndermek için en yaygın olarak kullanılan şemayı göstermektedir.

arka kapı

Konuşlandırılan Plead örneği, ilk aşama indiricisidir.

Yürütüldükten sonra, adı resmi ASUS WebStorage sunucusunu taklit eden sunucudan fav.ico dosyasını indirecektir:

update.asuswebstorage.com.ssmailer.com

İndirilen dosya, PNG biçimindeki resimleri ve kötü amaçlı yazılım tarafından kullanılan verileri içerir. Dosya, PNG verilerinden sonra bulunur.

Şekil 6, kötü amaçlı yazılımın aradığı belirli bayt dizisini (kontrol baytı) gösterir ve ardından verilerin geri kalanının şifresini çözmek için sonraki 512 baytı RC4 şifreleme anahtarı olarak kullanır.

Şifresi çözülen veriler, mutlak dosya adı veya yolu kullanılarak serbest bırakılabilen ve çalıştırılabilen bir Windows PE ikili dosyası içerir:

% APPDATA% \ Microsoft \ Windows \ StartMenu \ Programs \ Startup \ slui.exe% APPDATA% \ Microsoft \ Windows \ StartMenu \ Programs \ Startup \ ctfmon.exe% TEMP% \ DEV.TMP

Kendini "Başlat Menüsü" başlangıç klasörüne yazarak, kötü amaçlı yazılım kalıcılık kazanabilir - mevcut kullanıcı sistemde her oturum açtığında yüklenecektir.

Serbest bırakılan yürütülebilir dosya, amacı, PE kaynağından kabuk kodunu çözmek ve bellekte yürütmek olan ikinci aşama yükleyicidir.

Bu kabuk kodu, amacı C&C sunucusundan ek bir modül elde etmek ve onu çalıştırmak olan üçüncü düzey DLL'yi yükler. Üçüncü aşama DLL ve indirilen modüller JPCERT tarafından kapsamlı bir şekilde analiz edilir ve blog gönderilerinde ("TSCookie" olarak adlandırılır) yayınlanır.

https://blogs.jpcert.or.jp/en/2018/03/malware-tscooki-7aa0.html

sonuç olarak

Saldırganlar her zaman kötü amaçlı yazılımları daha incelikli bir şekilde dağıtmanın yeni yollarını ararlar.

Dünyanın dört bir yanındaki çeşitli saldırganların giderek artan bir şekilde tedarik zinciri ve ortadaki adam saldırılarını kullandığını gördük.

Bu nedenle, yazılım geliştiricilerinin yalnızca olası izinsiz girişlere karşı ortamlarını kapsamlı bir şekilde izlemelerinin değil, aynı zamanda ürünlerinde ortadaki adam saldırılarına direnebilecek uygun güncelleme mekanizmalarını uygulamalarının da çok önemli olmasının nedeni budur.

Elbette yönlendiricilerin de dikkat etmesi, büyük bir marka seçmeye çalışması gerekiyor, makale hangi marka yönlendiricinin tehlikeye atılabileceğinden bahsetmiyor.

Yazar: Blackbird, yeniden basıldı: https: //www.freebuf.com/column/203563.html

Ülkenin yarısı sona erdi! Küresel karanlık web pazarı bir değişimle karşı karşıya

Lian Shang Literature CEO'su Wang Xiaoshu: IP, çizgi roman reformundan başlamalı

69 yaşındaki girişimci götürüldü * ST Kangde'nin 300 milyar piyasa değeri hayali var mı?

8 saniye güç vermek yangına neden olabilir! Her ailenin sahip olduğu bu küçük şey neredeyse bir evi yaktı

Discovery Çin'e geldiğinde: Çinliler onu Bey'in vahşi hayatta kalması için satın alacaklar mı?

"520" Harbin Evlilik Sicilindeki o mutlu anlar

Geçen yıl dolandırıcılık parası, bu yıl aldatmaca biletleri, bozuk bahis kültürünün arkasındaki idol gösterisi

Finansman başlangıcı | Wubang on milyonlarca finansman aldı, başkent bahar esintisi modaya uygun sokak dansı kültürünü hedef alıyor

"520 seni seviyorum"! Harbin, Daoli Bölgesi'ndeki Evlilik Sicilinden yüzlerce çift tatlı sertifikası alıyor

IPC $ istilasının bilgisayar korsanı tarafından uzaktan kontrolü olma hissini yaşayın

Öğrenci apartmanlarından kaçınan askeri pilotlarımız acil iniş yaptı ve feda etti ... Netizen: Blue Sky Loyalty Soul!

VR'nin canlanması mı?