ستضيف MITRE هذا الشهر تقنيتين فرعيتين إلى قاعدة بيانات ATT&CK الخاصة بها والتي تم استغلالها على نطاق واسع من قبل الجهات الفاعلة في مجال التهديد في كوريا الشمالية.

• أولاً، ليست تقنية فرعية جديدة تمامًا ينطوي التلاعب بالشفافية والموافقة والتحكم (TCC)، وهو بروتوكول أمان ينظم أذونات التطبيق على نظام التشغيل macOS من Apple.

الآخر - دعا اختطاف مكتبة الارتباط الديناميكي (DLL) "الوهمية". — هي مجموعة فرعية أقل شهرة من عمليات اختطاف DLL، حيث يستغل المتسللون ملفات DLL المشار إليها ولكن غير الموجودة في نظام التشغيل Windows.

وقد سمح كل من التلاعب بـ TCC والاختطاف الوهمي لملفات DLL للقراصنة الكوريين الشماليين بالحصول على امتياز الوصول إلى بيئات macOS وWindows، على التوالي، والتي يمكنهم من خلالها تنفيذ عمليات تجسس وإجراءات أخرى بعد الاستغلال.

التلاعب TCC

تقول مارينا ليانغ، مهندسة استخبارات التهديدات في شركة Interpres Security: "إن كوريا الشمالية انتهازية". "لديهم غرض مزدوج يتمثل في التجسس وكذلك توليد الإيرادات، لذلك سيتطلعون إلى الوصول إلى حيث توجد أهدافهم. ونظرًا لتزايد شعبية نظام التشغيل macOS، هذا هو المكان الذي بدأوا فيه بالدوران".

إحدى الطرق التي اتبعتها التهديدات المستمرة المتقدمة (APTs) الكورية الشمالية لاختراق أجهزة Mac مؤخرًا هي عبر TCC، وهو إطار عمل أساسي للتحكم في أذونات التطبيقات.

لدى TCC قاعدة بيانات على مستوى المستخدم والنظام. الأول محمي بالأذونات - قد يحتاج المستخدم إلى الوصول الكامل إلى القرص (FDA)، أو شيء مشابه - والأخير عن طريق حماية تكامل النظام (SIP)، وهي ميزة تم تقديمها لأول مرة مع نظام التشغيل macOS Sierra. من الناحية النظرية، تعتبر الامتيازات وSIP بمثابة حراسة ضد الوصول الضار إلى TCC.

ولكن من الناحية العملية، هناك سيناريوهات حيث يمكن تقويض كل منها. على سبيل المثال، قد يطلب المسؤولون وتطبيقات الأمان من إدارة الغذاء والدواء (FDA) أن تعمل بشكل صحيح. وهناك أوقات يتحايل فيها المستخدمون على SIP.

يوضح ليانغ: "عندما يحتاج المطورون إلى المرونة في أجهزتهم، أو عندما يتم حظرهم بواسطة نظام التشغيل، فقد يقللون من عناصر التحكم التي تمتلكها شركة Apple للسماح لهم بالبرمجة وإنشاء البرامج". "من خلال الروايات المتناقلة، رأيت أن استكشاف الأخطاء وإصلاحها للمطورين سيحاول معرفة ما هو موجود [في النظام]، وتعطيله لمعرفة ما إذا كان ذلك سيحل مشكلتهم."

عند إيقاف تشغيل SIP، أو تشغيل FDA، يكون لدى المهاجمين نافذة للوصول إلى قاعدة بيانات TCC ومنح أنفسهم الأذونات دون تنبيه المستخدم.

هناك عدد من الطرق الأخرى لتجاوز TCC أيضًا. على سبيل المثال، بعض الأدلة الحساسة مثل /tmp تقع خارج نطاق TCC بالكامل. تم تمكين FDA افتراضيًا لتطبيق Finder، وهو غير مدرج في نافذة الأمان والخصوصية الخاصة بالمستخدم، مما يعني أنه يجب على المستخدم أن يكون على علم بشكل مستقل بأذوناته ويلغيها يدويًا. يمكن للمهاجمين أيضًا استخدام الهندسة الاجتماعية لتوجيه المستخدمين لتعطيل عناصر التحكم الأمنية.

تم تصميم عدد من أدوات البرامج الضارة للتلاعب بـ TCC، بما في ذلك Bundlore وBlueBlood وCallisto وJokerSpy وXCSSET وغيرها من أحصنة طروادة لنظام التشغيل MacOS غير المسماة والمسجلة على VirusTotal. حدد Liang البرامج الضارة لمجموعة Lazarus، التي تحاول تفريغ جدول الوصول من قاعدة بيانات TCC، و CloudMensis بواسطة APT37 (المعروف أيضًا باسم InkSquid أو RedEyes أو BadRAT أو Reaper أو ScarCruft) يحاول بإصرار تحديد مكان تعطيل SIP من أجل تحميل قاعدة البيانات الضارة الخاصة به.

اتصلت Dark Reading بشركة Apple للحصول على بيان بشأن انتهاكات TCC ولم تتلق أي رد.

لمنع المهاجمين من الاستفادة من TCC، فإن الشيء الأكثر أهمية هو الحفاظ على تمكين SIP. باختصار، يسلط ليانغ الضوء على الحاجة إلى معرفة التطبيقات التي تتمتع بالأذونات الموجودة في نظامك. "إنها تدرك ما تمنحه الأذونات. ومن ثم - من الواضح أن القول أسهل من الفعل - ممارسة [مبدأ] [الوصول] الأقل حظًا. إذا كانت بعض التطبيقات لا تحتاج بالضرورة إلى أذونات معينة لتعمل، فقم بإزالتها.

اختطاف فانتوم DLL

إلى جانب الثغرات الأمنية في TCC، كانت الجهات الفاعلة في مجال التهديد في منطقة آسيا والمحيط الهادئ تستغل ثغرة أكثر غرابة في Windows. لسبب ما، يشير نظام التشغيل إلى عدد من ملفات DLL غير الموجودة بالفعل.

يتعجب ليانغ: "هناك الكثير منهم". "ربما كان شخص ما يعمل في مشروع لإنشاء مكتبات DLL محددة لأغراض محددة، وربما تم تأجيله، أو لم يكن لديه ما يكفي من الموارد، أو نسي الأمر للتو."

لقد تواصلت Dark Reading مع Microsoft للحصول على توضيح بشأن هذه النقطة.

بالنسبة للمتسلل، فإن ما يسمى بملف DLL "الوهمي" يشبه لوحة قماشية فارغة. يمكنهم ببساطة إنشاء ملفات DLL ضارة خاصة بهم بنفس الاسم، وكتابتها في نفس الموقع، وسيتم تحميلها بواسطة نظام التشغيل دون أن يكون هناك من هو أكثر حكمة.

مجموعة لازاروس و أبت شنومكس (المعروفة أيضًا باسم Winnti وBarium وDouble Dragon) استخدمت هذا التكتيك مع IKEEXT، وهي خدمة ضرورية للمصادقة وتبادل المفاتيح ضمن أمان بروتوكول الإنترنت. عندما يتم تشغيل IKEEXT، فإنه يحاول تحميل "wlbsctrl.dll" غير الموجود. استهدف APT41 أيضًا ملفات DLL الوهمية الأخرى مثل "wbemcomn.dll"، التي تم تحميلها بواسطة مضيف موفر Windows Management Instrumentation (WMI).

وإلى أن يتخلص Windows من ملفات DLL الوهمية، يوصي Liang بشدة الشركات بتشغيل حلول المراقبة، ونشر عناصر التحكم الاستباقية في التطبيقات، وحظر التحميل عن بعد لمكتبات DLL تلقائيًا، وهي ميزة مضمنة افتراضيًا في Windows Server.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/dprk-exploits-mitre-sub-techniques-phantom-dll-hijacking-tcc-abuse