Този месец MITRE ще добави две подтехники към своята база данни ATT&CK, които са били широко използвани от севернокорейски заплахи.
Първата, не съвсем нова подтехника, включва манипулиране на Transparency, Consent and Control (TCC) – протокол за сигурност, който регулира разрешенията на приложенията в MacOS на Apple.
Другата – наречена „фантомно“ отвличане на библиотеки за динамични връзки (DLL) – е по-малко известна подгрупа на отвличането на DLL, при която хакерите се възползват от препращани, но несъществуващи DLL файлове в Windows.
Както манипулирането на TCC, така и отвличането на фантомни DLL са позволили на севернокорейските хакери да получат привилегирован достъп съответно до средите на macOS и Windows, откъдето са могли да извършват шпионаж и други действия след експлоатацията.
„Северна Корея е опортюнистична“, казва Марина Лианг, инженер по разузнаване на заплахи в Interpres Security. „Те имат двойна цел – шпионаж и генериране на приходи, така че ще се стремят да бъдат там, където са целите им. И тъй като популярността на macOS се увеличава, те започнаха да се ориентират именно към нея.“
Един от начините, по които севернокорейските напреднали постоянни заплахи (APT) напоследък проникват в Mac, е чрез TCC – основна рамка за контрол на разрешенията на приложенията.
TCC има база данни на ниво потребител и система. Първата е защитена с разрешения – потребителят би трябвало да има пълен достъп до диска (Full Disk Access – FDA) или нещо подобно – а втората – със защита на целостта на системата (System Integrity Protection – SIP), функция, въведена за първи път в macOS Sierra. Теоретично правата и SIP са защита срещу злонамерен достъп до TCC.
На практика обаче има сценарии, при които всяка от тях може да бъде подкопана. Например администраторите и приложенията за сигурност може да се нуждаят от SIP, за да функционират правилно. Има и случаи, когато потребителите заобикалят SIP.
„Когато разработчиците се нуждаят от гъвкавост на своята машина или са блокирани от операционната система, те могат да намалят тези контроли, които Apple е въвела, за да им позволи да кодират и създават софтуер“, обяснява Лианг. „По неофициални данни съм виждал, че разработчиците, които отстраняват проблеми, ще се опитат да разберат какво е въведено [в системата] и да го деактивират, за да видят дали това ще реши проблема им.“
Когато SIP е изключена или FDA е включена, нападателите имат прозорец за достъп до базата данни на TCC и си предоставят разрешения, без да предупреждават потребителя.
Съществуват и редица други начини за потенциално преминаване през TCC. Например някои чувствителни директории като /tmp попадат изцяло извън домейна на TCC. Приложението Finder по подразбиране има разрешена FDA и тя не е включена в списъка на прозореца Security & Privacy (Сигурност и поверителност) на потребителя, което означава, че потребителят би трябвало да е наясно с това самостоятелно и ръчно да отмени нейните разрешения. Атакуващите могат също така да използват социално инженерство, за да насочат потребителите към деактивиране на контролите за сигурност.
Редица зловредни инструменти са разработени за манипулиране на TCC, включително Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET и други неназовани троянски коне за macOS, записани във VirusTotal. Лианг идентифицира зловреден софтуер на Lazarus Group, който се опитва да изхвърли таблицата за достъп от базата данни на TCC, а CloudMensis от APT37 (известен още като InkSquid, RedEyes, BadRAT, Reaper или ScarCruft) упорито се опитва да установи къде SIP е деактивиран, за да зареди собствена зловредна база данни.
Dark Reading се свърза с Apple за изявление относно злоупотребите с TCC и не получи отговор.
За да се блокират нападателите, които се възползват от TCC, най-важното е да се поддържа включен SIP. Освен това Лианг подчертава необходимостта да знаете кои приложения какви разрешения имат във вашата система. „Важно е да сте наясно на какво давате разрешения. И след това – очевидно е по-лесно да се каже, отколкото да се направи – да се упражнява [принципът на] най-малко привилегирования [достъп]. Ако някои приложения не се нуждаят непременно от определени разрешения, за да функционират, тогава ги премахнете“, казва тя.
Освен уязвимостите на TCC, заплахите от района на APAC използват още по-странна грешка в Windows. По някаква причина операционната система се позовава на редица DLL файлове, които всъщност не съществуват.
„Има много такива“, чуди се Лианг. „Може би някой е работил по проект за създаване на специфични DLL файлове за специфични цели и може би е бил отложен, или не е имал достатъчно ресурси, или просто е забравил за него.“
Dark Reading се обърна към Microsoft за разяснения по този въпрос.
За един хакер така нареченият „фантомен“ DLL файл е като празно платно. Те могат просто да създадат свои собствени злонамерени DLL файлове със същото име, да ги запишат на същото място и те ще бъдат заредени от операционната система, без никой да разбере.
Lazarus Group и APT 41 (известни още като Winnti, Barium, Double Dragon) са използвали тази тактика с IKEEXT – услуга, необходима за удостоверяване и обмен на ключове в рамките на сигурността на интернет протоколите. Когато IKEEXT се задейства, тя се опитва да зареди несъществуващия файл „wlbsctrl.dll“. APT41 се е насочила и към други фантомни DLL като „wbemcomn.dll“, зареждан от хоста доставчик на Windows Management Instrumentation (WMI).
Докато Windows не се освободи от фантомните DLL, Лианг настоятелно препоръчва на компаниите да използват решения за мониторинг, да внедряват проактивен контрол на приложенията и автоматично да блокират отдалеченото зареждане на DLL – функция, включена по подразбиране в Windows Server.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
