Търсене
Close this search box.

КНДР се възползва от 2 подтехники: Призрачно отвличане на DLL, злоупотреба с TCC

Този месец MITRE ще добави две подтехники към своята база данни ATT&CK, които са били широко използвани от севернокорейски  заплахи.

Първата, не съвсем нова подтехника, включва манипулиране на Transparency, Consent and Control (TCC) – протокол за сигурност, който регулира разрешенията на приложенията в MacOS на Apple.

Другата – наречена „фантомно“ отвличане на библиотеки за динамични връзки (DLL) – е по-малко известна подгрупа на отвличането на DLL, при която хакерите се възползват от препращани, но несъществуващи DLL файлове в Windows.

Както манипулирането на TCC, така и отвличането на фантомни DLL са позволили на севернокорейските хакери да получат привилегирован достъп съответно до средите на macOS и Windows, откъдето са могли да извършват шпионаж и други действия след експлоатацията.

Манипулация на TCC

„Северна Корея е опортюнистична“, казва Марина Лианг, инженер по разузнаване на заплахи в Interpres Security. „Те имат двойна цел – шпионаж и генериране на приходи, така че ще се стремят да бъдат там, където са целите им. И тъй като популярността на macOS се увеличава, те започнаха да се ориентират именно към нея.“

Един от начините, по които севернокорейските напреднали постоянни заплахи (APT) напоследък проникват в Mac, е чрез TCC – основна рамка за контрол на разрешенията на приложенията.

TCC има база данни на ниво потребител и система. Първата е защитена с разрешения – потребителят би трябвало да има пълен достъп до диска (Full Disk Access – FDA) или нещо подобно – а втората – със защита на целостта на системата (System Integrity Protection – SIP), функция, въведена за първи път в macOS Sierra. Теоретично правата и SIP са защита срещу злонамерен достъп до TCC.

На практика обаче има сценарии, при които всяка от тях може да бъде подкопана. Например администраторите и приложенията за сигурност може да се нуждаят от SIP, за да функционират правилно. Има и случаи, когато потребителите заобикалят SIP.

„Когато разработчиците се нуждаят от гъвкавост на своята машина или са блокирани от операционната система, те могат да намалят тези контроли, които Apple е въвела, за да им позволи да кодират и създават софтуер“, обяснява Лианг. „По неофициални данни съм виждал, че разработчиците, които отстраняват проблеми, ще се опитат да разберат какво е въведено [в системата] и да го деактивират, за да видят дали това ще реши проблема им.“

Когато SIP е изключена или FDA е включена, нападателите имат прозорец за достъп до базата данни на TCC и си предоставят разрешения, без да предупреждават потребителя.

Съществуват и редица други начини за потенциално преминаване през TCC. Например някои чувствителни директории като /tmp попадат изцяло извън домейна на TCC. Приложението Finder по подразбиране има разрешена FDA и тя не е включена в списъка на прозореца Security & Privacy (Сигурност и поверителност) на потребителя, което означава, че потребителят би трябвало да е наясно с това самостоятелно и ръчно да отмени нейните разрешения. Атакуващите могат също така да използват социално инженерство, за да насочат потребителите към деактивиране на контролите за сигурност.

Редица зловредни инструменти са разработени за манипулиране на TCC, включително Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET и други неназовани троянски коне за macOS, записани във VirusTotal. Лианг идентифицира зловреден софтуер на Lazarus Group, който се опитва да изхвърли таблицата за достъп от базата данни на TCC, а CloudMensis от APT37 (известен още като InkSquid, RedEyes, BadRAT, Reaper или ScarCruft) упорито се опитва да установи къде SIP е деактивиран, за да зареди собствена зловредна база данни.

Dark Reading се свърза с Apple за изявление относно злоупотребите с TCC и не получи отговор.

За да се блокират нападателите, които се възползват от TCC, най-важното е да се поддържа включен SIP. Освен това Лианг подчертава необходимостта да знаете кои приложения какви разрешения имат във вашата система. „Важно е да сте наясно на какво давате разрешения. И след това – очевидно е по-лесно да се каже, отколкото да се направи – да се упражнява [принципът на] най-малко привилегирования [достъп]. Ако някои приложения не се нуждаят непременно от определени разрешения, за да функционират, тогава ги премахнете“, казва тя.

Призрачно отвличане на DLL

Освен уязвимостите на TCC,  заплахите от района на APAC използват още по-странна грешка в Windows. По някаква причина операционната система се позовава на редица DLL файлове, които всъщност не съществуват.

„Има много такива“, чуди се Лианг. „Може би някой е работил по проект за създаване на специфични DLL файлове за специфични цели и може би е бил отложен, или не е имал достатъчно ресурси, или просто е забравил за него.“

Dark Reading се обърна към Microsoft за разяснения по този въпрос.

За един хакер така нареченият „фантомен“ DLL файл е като празно платно. Те могат просто да създадат свои собствени злонамерени DLL файлове със същото име, да ги запишат на същото място и те ще бъдат заредени от операционната система, без никой да разбере.

Lazarus Group и APT 41 (известни още като Winnti, Barium, Double Dragon) са използвали тази тактика с IKEEXT – услуга, необходима за удостоверяване и обмен на ключове в рамките на сигурността на интернет протоколите. Когато IKEEXT се задейства, тя се опитва да зареди несъществуващия файл „wlbsctrl.dll“. APT41 се е насочила и към други фантомни DLL като „wbemcomn.dll“, зареждан от хоста доставчик на Windows Management Instrumentation (WMI).

Докато Windows не се освободи от фантомните DLL, Лианг настоятелно препоръчва на компаниите да използват решения за мониторинг, да внедряват проактивен контрол на приложенията и автоматично да блокират отдалеченото зареждане на DLL – функция, включена по подразбиране в Windows Server.

Източник: DARKReading

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
17/05/2024

Шпионската група "Маската" ...

Група за съвременни постоянни заплахи (APT),...
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!