ในเดือนนี้ MITER จะเพิ่มเทคนิคย่อยสองรายการลงในฐานข้อมูล ATT&CK ซึ่งผู้โจมตีจากเกาหลีเหนือใช้ประโยชน์อย่างกว้างขวาง

พื้นที่ ประการแรก ไม่ใช่เทคนิคย่อยใหม่ทั้งหมด ที่เกี่ยวข้องกับการ การบิดเบือนความโปร่งใส ความยินยอม และการควบคุม (TCC)ซึ่งเป็นโปรโตคอลความปลอดภัยที่ควบคุมการอนุญาตแอปพลิเคชันบน macOS ของ Apple

อีกอันหนึ่งเรียกว่า การไฮแจ็กไลบรารีลิงก์แบบไดนามิก (DLL) “phantom” — เป็นกลุ่มย่อยของการจี้ DLL ที่ไม่ค่อยมีใครรู้จัก โดยที่แฮกเกอร์ใช้ประโยชน์จากไฟล์ DLL ที่อ้างอิง แต่ไม่มีอยู่ใน Windows

ทั้งการจัดการ TCC และการจี้ DLL หลอกทำให้แฮกเกอร์ชาวเกาหลีเหนือสามารถเข้าถึงสภาพแวดล้อม macOS และ Windows ตามลำดับ ซึ่งพวกเขาสามารถทำการจารกรรมและดำเนินการหลังการแสวงหาผลประโยชน์อื่น ๆ ได้

การจัดการ TCC

“เกาหลีเหนือเป็นประเทศที่ฉวยโอกาส” มารินา เหลียง วิศวกรข่าวกรองภัยคุกคามที่ Interpres Security กล่าว “พวกเขามีจุดประสงค์สองประการในการจารกรรมและสร้างรายได้ด้วย ดังนั้นพวกเขาจะมองหาเป้าหมายของพวกเขา และเนื่องจาก macOS กำลังได้รับความนิยมเพิ่มมากขึ้น นั่นคือจุดที่พวกเขาเริ่มหมุน".

วิธีหนึ่งที่ภัยคุกคามขั้นสูงแบบถาวร (APT) ของเกาหลีเหนือได้ละเมิด Mac เมื่อเร็ว ๆ นี้ก็คือผ่าน TCC ซึ่งเป็นเฟรมเวิร์กที่จำเป็นสำหรับการควบคุมสิทธิ์ของแอปพลิเคชัน

TCC มีฐานข้อมูลระดับผู้ใช้และระบบ แบบแรกได้รับการปกป้องด้วยสิทธิ์ ผู้ใช้จะต้องใช้การเข้าถึงดิสก์แบบเต็ม (FDA) หรือสิ่งที่คล้ายกัน และแบบหลังโดย System Integrity Protection (SIP) ซึ่งเป็นคุณสมบัติที่เปิดตัวครั้งแรกกับ macOS Sierra ตามทฤษฎีแล้ว สิทธิพิเศษและ SIP จะป้องกันการเข้าถึง TCC ที่เป็นอันตราย

อย่างไรก็ตาม ในทางปฏิบัติ มีสถานการณ์ที่แต่ละสถานการณ์สามารถถูกทำลายได้ ตัวอย่างเช่น ผู้ดูแลระบบและแอปความปลอดภัยอาจกำหนดให้ FDA ทำงานได้อย่างถูกต้อง และมีหลายครั้งที่ผู้ใช้หลีกเลี่ยง SIP

“เมื่อนักพัฒนาต้องการความยืดหยุ่นบนเครื่องของพวกเขา หรือถูกระบบปฏิบัติการปิดกั้น พวกเขาอาจลดการควบคุมที่ Apple มีอยู่เพื่ออนุญาตให้พวกเขาเขียนโค้ดและสร้างซอฟต์แวร์ได้” Liang อธิบาย “โดยพื้นฐานแล้ว ฉันเห็นว่านักพัฒนาการแก้ไขปัญหาจะพยายามค้นหาว่ามีอะไรเกิดขึ้น [บนระบบ] และปิดการใช้งานเพื่อดูว่าสามารถแก้ไขปัญหาของพวกเขาได้หรือไม่”

เมื่อปิด SIP หรือเปิด FDA ผู้โจมตีจะมีหน้าต่างในการเข้าถึงฐานข้อมูล TCC และให้สิทธิ์แก่ตนเองโดยไม่ต้องแจ้งเตือนผู้ใช้

มีหลายวิธีในการผ่าน TCC เช่นกัน ตัวอย่างเช่น ไดเร็กทอรีที่มีความละเอียดอ่อนบางไดเร็กทอรี เช่น /tmp อยู่นอกโดเมนของ TCC ทั้งหมด แอป Finder เปิดใช้งาน FDA เป็นค่าเริ่มต้น และไม่มีอยู่ในหน้าต่างความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งหมายความว่าผู้ใช้จะต้องทราบและเพิกถอนสิทธิ์ด้วยตนเองด้วยตนเอง ผู้โจมตียังสามารถใช้วิศวกรรมสังคมเพื่อสั่งให้ผู้ใช้ปิดการใช้งานการควบคุมความปลอดภัย

เครื่องมือมัลแวร์จำนวนหนึ่งได้รับการออกแบบมาเพื่อจัดการกับ TCC รวมถึง Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET และโทรจัน macOS ที่ไม่มีชื่ออื่น ๆ ที่บันทึกไว้ใน VirusTotal Liang ระบุมัลแวร์ Lazarus Group ซึ่งพยายามถ่ายโอนข้อมูลตารางการเข้าถึงจากฐานข้อมูล TCC และ CloudMensis โดย APT37 (หรือที่รู้จักในชื่อ InkSquid, RedEyes, BadRAT, Reaper หรือ ScarCruft) พยายามระบุตำแหน่งที่ปิดใช้งาน SIP เพื่อโหลดฐานข้อมูลที่เป็นอันตรายของตัวเอง

Dark Reading ติดต่อ Apple เพื่อขอคำชี้แจงเกี่ยวกับการละเมิด TCC และไม่ได้รับการตอบกลับ

หากต้องการบล็อกผู้โจมตีที่ใช้ประโยชน์จาก TCC สิ่งที่สำคัญที่สุดคือเปิดใช้งาน SIP ไว้ โดยสรุป Liang เน้นย้ำถึงความจำเป็นในการทราบว่าแอปใดมีสิทธิ์ใดบ้างในระบบของคุณ “มันรับรู้ถึงสิ่งที่คุณให้สิทธิ์ จากนั้น — เห็นได้ชัดว่าพูดง่ายกว่าทำ — ใช้ [หลักการของ] [การเข้าถึง] ที่มีสิทธิพิเศษน้อยที่สุด หากบางแอปไม่จำเป็นต้องมีการอนุญาตบางอย่างในการทำงาน ก็ให้ลบแอปเหล่านั้นออก” เธอกล่าว

การจี้ Phantom DLL

นอกจากช่องโหว่ของ TCC แล้ว ผู้คุกคามในพื้นที่ APAC ยังใช้ประโยชน์จากข้อบกพร่องที่แปลกประหลาดใน Windows อีกด้วย ด้วยเหตุผลบางประการ ระบบปฏิบัติการจึงอ้างอิงไฟล์ DLL จำนวนหนึ่งที่ไม่มีอยู่จริง

“มีอยู่มากมาย” เหลียงประหลาดใจ “อาจมีบางคนกำลังทำงานในโครงการเพื่อสร้าง DLLs เฉพาะเพื่อวัตถุประสงค์เฉพาะ และบางทีอาจถูกเก็บเข้าลิ้นชัก หรือพวกเขามีทรัพยากรไม่เพียงพอ หรือเพียงแค่ลืมมันไป”

Dark Reading ได้ติดต่อกับ Microsoft เพื่อขอคำชี้แจงในประเด็นนี้

สำหรับแฮ็กเกอร์ ไฟล์ DLL ที่เรียกว่า "phantom" ก็เปรียบเสมือนผืนผ้าใบว่างเปล่า พวกเขาสามารถสร้าง DLL ที่เป็นอันตรายของตนเองด้วยชื่อเดียวกัน และเขียนลงในตำแหน่งเดียวกัน จากนั้นระบบปฏิบัติการจะโหลดพวกมันโดยไม่มีใครฉลาดไปกว่านี้

กลุ่มลาซารัสและ APT 41 (หรือที่เรียกว่า Winnti, Barium, Double Dragon) ได้ใช้กลยุทธ์นี้กับ IKEEXT ซึ่งเป็นบริการที่จำเป็นสำหรับการรับรองความถูกต้องและการแลกเปลี่ยนคีย์ภายในความปลอดภัยของอินเทอร์เน็ตโปรโตคอล เมื่อ IKEEXT ทริกเกอร์ ระบบจะพยายามโหลด “wlbsctrl.dll” ที่ไม่มีอยู่จริง APT41 ยังกำหนดเป้าหมาย Phantom DLL อื่นๆ เช่น “wbemcomn.dll” ที่โหลดโดยโฮสต์ผู้ให้บริการ Windows Management Instrumentation (WMI)

จนกว่า Windows จะกำจัด Phantom DLLs ออกไป Liang ขอแนะนำอย่างยิ่งให้บริษัทต่างๆ ใช้โซลูชันการตรวจสอบ ปรับใช้การควบคุมแอปพลิเคชันเชิงรุก และบล็อกการโหลด DLL จากระยะไกลโดยอัตโนมัติ ซึ่งเป็นคุณลักษณะที่รวมอยู่ใน Windows Server ตามค่าเริ่มต้น

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/vulnerabilities-threats/dprk-exploits-mitre-sub-techniques-phantom-dll-hijacking-tcc-abuse