在過去幾年中���,黑客將路由器、VPN 集中器和負載平衡器等面向公眾的網(wǎng)絡(luò)設(shè)備作為目標��,以在企業(yè)網(wǎng)絡(luò)中站穩(wěn)腳跟。雖然在此類設(shè)備中發(fā)現(xiàn)遠程代碼執(zhí)行漏洞并不少見�����,但攻擊者能夠在這些設(shè)備上部署能夠在重啟或固件升級后仍然存在的惡意軟件的事件很少見����,而且通常歸因于復(fù)雜的 APT 組織�����。
由于它們使用閃存���,如果進行多次寫入操作���,閃存會隨著時間的推移而降級����,因此嵌入式網(wǎng)絡(luò)設(shè)備通常將其固件存儲在只讀文件系統(tǒng)中�,并在每次重啟時將其內(nèi)容加載到 RAM 中����。這意味著在設(shè)備正常運行期間由各種運行的服務(wù)生成的所有更改和文件都是臨時的,因為它們只發(fā)生在 RAM 中���,永遠不會保存到文件系統(tǒng)中,當設(shè)備重新啟動時�����,文件系統(tǒng)將恢復(fù)到其初始狀態(tài)�。
例外情況是通過設(shè)備管理界面生成并存儲在稱為 NVRAM(非易失性 RAM)的有限存儲區(qū)域中的配置文件和腳本����。從攻擊者的角度來看��,這種限制使得以持久的方式破壞網(wǎng)絡(luò)設(shè)備變得更加困難,這就是為什么針對家用路由器的大規(guī)模攻擊��,例如,涉及自動僵尸網(wǎng)絡(luò)����,定期重新掃描并重新感染已重新啟動的路由器。
然而�����,在針對企業(yè)網(wǎng)絡(luò)的針對性攻擊場景中����,攻擊者更愿意保持隱蔽狀態(tài),而不是多次攻擊同一臺設(shè)備��,這樣他們就不會觸發(fā)漏洞公開后可能實施的任何檢測�。他們還更愿意長期訪問此類設(shè)備����,并將它們用作進入內(nèi)部網(wǎng)絡(luò)的橋梁,以及他們可以執(zhí)行橫向移動和擴展對其他非公共設(shè)備的訪問的樞軸點�����。
Citrix、F5 負載平衡器中的持久性機會
自 2019 年以來�,Citrix 和 F5 負載均衡器中出現(xiàn)了三個嚴重漏洞(CVE-2019-19781、CVE-2020-5
902和CVE-2022-1388)�,這些漏洞已被公開記錄并在野外被利用���,引發(fā)了美國的警告網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 和其他組織���。正因為如此�����,固件安全公司 Eclypsium 的研究人員最近調(diào)查了攻擊者在此類設(shè)備上的持久性機會。他們的發(fā)現(xiàn)在周三的一份報告中公布����。
2022 年 5 月�,安全公司 Mandiant報告稱,一個網(wǎng)絡(luò)間諜威脅行為者——當時被識別為 UNC3524�����,但后來與俄羅斯國營的 APT29 (Cozy Bear) 相關(guān)聯(lián)——破壞了企業(yè)網(wǎng)絡(luò)��,并且由于部署后門而在很長一段時間內(nèi)未被發(fā)現(xiàn)植入網(wǎng)絡(luò)設(shè)備����,包括不支持在其上運行端點檢測和響應(yīng) (EDR) 等檢測工具并運行舊版本 CentOS 和 BSD 的負載均衡器。雖然 Mandiant 沒有指明這些設(shè)備或其制造商的名稱�,但 Eclypsium 研究人員認為它們是 F5 和 Citrix 設(shè)備,因為 F5 負載平衡器運行 CentOS����,而 Citrix(以前稱為 Netscaler)運行 FreeBSD����。
“UNC3524 的一個特點很突出:他們的 TTP 不可靠,他們使用修改過的開源軟件來建立他們的后門��,并且似乎只對系統(tǒng)有足夠的了解來實現(xiàn)最基本的目標,”Eclypsium 研究人員在他們的報告中說�。報告?!八麄兊闹踩胛锓浅2豢煽?,他們安裝網(wǎng)絡(luò)外殼的唯一目的是在他們死后重新啟動它們。正是這個特性成為了這項研究的催化劑���,懸而未決的問題是:是否可以在負載均衡器上使用現(xiàn)成的 C2 框架�����?惡意軟件是否具有足夠的彈性以在重啟甚至升級后持續(xù)存在���?是否有可能將設(shè)備感染得如此之深以至于干凈擦拭并重新安裝是不夠的?”
許多攻擊組織選擇使用破解版的商業(yè)攻擊框架�����,例如 Cobalt Strike 或 Brute Ratel���,但 Eclypsium 研究人員想要一些開源的東西,并且容易被不太老練的攻擊者使用�����,所以他們選擇了 Sliver�����,一個開源的對手仿真框架��,用于他們的測試植入物。Sliver 是用 Go 編寫的����,因此它是跨平臺的�,并提供旋轉(zhuǎn)和隧道功能�。
為了調(diào)查 F5 負載均衡器在重啟和固件升級期間保留了哪些文件,研究人員研究了通過管理界面可用的配置備份功能�,該功能可用于生成包含所有配置和設(shè)置的存檔,以后可以在全新安裝中進行部署. 在包含數(shù)百個文件的檔案中�,研究人員選擇了三個可執(zhí)行腳本和配置文件,這些文件可以在某些事件上執(zhí)行腳本���。
“在這項研究中的一個意外發(fā)現(xiàn)是供應(yīng)商文檔;事實證明�����,多年來這些設(shè)備中包含了大量關(guān)于未記錄的特性和功能的信息�,”研究人員說����?��!案兄x供應(yīng)商,如果沒有文檔����,這項研究會困難得多���。了解設(shè)備如何處理其配置文件非常重要����?!?/p>
打造開箱即用的物聯(lián)網(wǎng)平臺
軌版-3.webp)
