MITER lisää tässä kuussa kaksi alitekniikkaa ATT&CK-tietokantaan, joita Pohjois-Korean uhkatoimijat ovat käyttäneet laajalti.
- Ensinnäkin, ei täysin uusi, alitekniikka liittyy Avoimuuden, suostumuksen ja hallinnan (TCC) manipulointi, suojausprotokolla, joka säätelee sovellusten käyttöoikeuksia Applen macOS:ssä.
Toinen - soitti "Phantom" Dynaamisen linkkikirjaston (DLL) kaappaus — on vähemmän tunnettu DLL-kaappauksen osajoukko, jossa hakkerit hyödyntävät viitattuja, mutta olemattomia DLL-tiedostoja Windowsissa.
Sekä TCC-manipulaatio että haamu DLL-kaappaus ovat antaneet pohjoiskorealaisille hakkereille etuoikeutetun pääsyn macOS- ja Windows-ympäristöihin, joista he voivat suorittaa vakoilua ja muita hyväksikäytön jälkeisiä toimia.
TCC-manipulaatio
"Pohjois-Korea on opportunistinen", sanoo Marina Liang, Interpres Securityn uhkien tiedusteluinsinööri. "Heillä on kaksi tarkoitusta: vakoilu ja myös tulojen tuottaminen, joten he näyttävät olevansa siellä, missä heidän kohteensa ovat. Ja koska macOS:n suosio kasvaa, siellä he alkoivat kääntyä"
Yksi tapa Pohjois-Korean kehittyneistä pysyvistä uhista (APT) on murtautunut Mac-tietokoneisiin viime aikoina on TCC:n kautta, joka on olennainen kehys sovellusten käyttöoikeuksien hallinnassa.
TCC:llä on käyttäjä- ja järjestelmätason tietokanta. Edellinen on suojattu käyttöoikeuksilla – käyttäjä tarvitsee Full Disk Accessin (FDA) tai jotain vastaavaa – ja jälkimmäinen System Integrity Protection (SIP), -ominaisuus, joka esiteltiin ensimmäisen kerran macOS Sierrassa. Teoriassa oikeudet ja SIP suojaavat haitallisilta TCC-käytöltä.
Käytännössä on kuitenkin skenaarioita, joissa jokainen voi heiketä. Esimerkiksi järjestelmänvalvojat ja tietoturvasovellukset saattavat vaatia FDA:n toimiakseen oikein. Ja joskus käyttäjät kiertävät SIP:n.
"Kun kehittäjät tarvitsevat joustavuutta koneeseensa tai käyttöjärjestelmä estää heitä, he saattavat vähentää Applen ohjaimia, jotta he voivat koodata ja luoda ohjelmistoja", Liang selittää. "Anekdoottisesti olen nähnyt, että kehittäjät yrittävät selvittää, mikä [järjestelmässä] on paikallaan, ja poistavat sen käytöstä nähdäkseen, ratkaiseeko se heidän ongelmansa."
Kun SIP on pois päältä tai FDA päällä, hyökkääjillä on ikkuna, jossa he voivat käyttää TCC-tietokantaa ja myöntää itselleen lupia varoittamatta käyttäjää.
On myös monia muita tapoja päästä TCC:n läpi. Esimerkiksi jotkut arkaluontoiset hakemistot, kuten /tmp, jäävät kokonaan TCC:n toimialueen ulkopuolelle. Finder-sovelluksessa FDA on oletusarvoisesti käytössä, eikä sitä ole lueteltu käyttäjän Security & Privacy -ikkunassa, mikä tarkoittaa, että käyttäjän on oltava itsenäisesti tietoinen ja peruutettava sen käyttöoikeudet manuaalisesti. Hyökkääjät voivat myös käyttää sosiaalista manipulointia ohjatakseen käyttäjiä poistamaan suojaustoiminnot käytöstä.
Useita haittaohjelmatyökaluja on suunniteltu manipuloimaan TCC:tä, mukaan lukien Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET ja muut VirusTotaliin tallennetut nimettömät macOS-troijalaiset. Liang tunnisti Lazarus Groupin haittaohjelman, joka yrittää tyhjentää pääsytaulukon TCC-tietokannasta, ja CloudMensis, APT37 (alias InkSquid, RedEyes, BadRAT, Reaper tai ScarCruft) yrittää sitkeästi tunnistaa, missä SIP on poistettu käytöstä ladatakseen oman haitallisen tietokantansa.
Dark Reading otti yhteyttä Appleen saadakseen lausuntoa TCC:n väärinkäytöksistä, eikä saanut vastausta.
TCC:tä hyödyntävien hyökkääjien estämiseksi tärkeintä on pitää SIP käytössä. Lyhyesti sanottuna Liang korostaa tarvetta tietää, millä sovelluksilla on mitä käyttöoikeuksia järjestelmässäsi. "Se on tietoisuutta siitä, mihin lupia myönnät. Ja sitten - ilmeisesti se on helpommin sanottu kuin tehty - käyttää [periaatetta] vähiten etuoikeutetusta [pääsystä]. Jos tietyt sovellukset eivät välttämättä tarvitse tiettyjä käyttöoikeuksia toimiakseen, poista ne", hän sanoo.
Phantom DLL -kaappaus
TCC-haavoittuvuuksien lisäksi APAC-alueen uhkatoimijat ovat käyttäneet hyväkseen vieläkin outoa Windowsin puutetta. Jostain syystä käyttöjärjestelmä viittaa useisiin DLL-tiedostoihin, joita ei todellisuudessa ole olemassa.
"Niitä on tonni", Liang ihmettelee. "Ehkä joku työskenteli projektin parissa luodakseen tiettyjä DLL-tiedostoja tiettyihin tarkoituksiin, ja ehkä se hylättiin, tai heillä ei ollut tarpeeksi resursseja tai se vain unohtui."
Dark Reading on ottanut yhteyttä Microsoftiin saadakseen selvityksen tästä asiasta.
Hakkereille niin kutsuttu "fantomi" DLL-tiedosto on kuin tyhjä kangas. He voivat yksinkertaisesti luoda omia haitallisia DLL-tiedostoja samalla nimellä ja kirjoittaa ne samaan paikkaan, jolloin käyttöjärjestelmä lataa ne ilman viisaampia.
Lazarus Group ja APT 41 (alias Winnti, Barium, Double Dragon) ovat käyttäneet tätä taktiikkaa IKEEXT:n kanssa, joka on Internet-protokollan suojauksen tunnistamiseen ja avainten vaihtoon tarvittava palvelu. Kun IKEEXT laukeaa, se yrittää ladata olematon "wlbsctrl.dll". APT41 on kohdistanut myös muihin haamu-DLL-tiedostoihin, kuten "wbemcomn.dll", jonka lataa Windows Management Instrumentation (WMI) -palveluntarjoaja.
Kunnes Windows pääsee eroon haamu-DLL-tiedostoista, Liang suosittelee, että yritykset käyttävät valvontaratkaisuja, ottavat käyttöön ennakoivia sovellusohjauksia ja estävät automaattisesti DLL-tiedostojen etälatauksen. Tämä ominaisuus sisältyy oletusarvoisesti Windows Serveriin.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/dprk-exploits-mitre-sub-techniques-phantom-dll-hijacking-tcc-abuse
