В последние несколько лет хакеры нацелились на общедоступные сетевые устройства, такие как маршрутизаторы, концентраторы VPN и балансировщики нагрузки, чтобы закрепиться в корпоративных сетях. Хотя уязвимости для удаленного выполнения кода в таких устройствах встречаются нередко, случаи, когда злоумышленникам удается развернуть на этих устройствах вредоносное ПО, способное пережить перезагрузку или обновление прошивки, редки и часто приписываются сложным организациям APT.
Поскольку в них используется флэш-память, которая со временем может деградировать при многократной записи, встроенные сетевые устройства часто хранят свою прошивку в файловой системе, доступной только для чтения, и загружают ее содержимое в оперативную память при каждой перезагрузке. Это означает, что все изменения и файлы, создаваемые различными запущенными службами во время нормальной работы устройства, являются временными, поскольку происходят только в оперативной памяти и никогда не сохраняются в файловой системе, которая при перезагрузке устройства будет восстановлена в исходное состояние.
Исключение составляют конфигурационные файлы и скрипты, создаваемые через интерфейс управления устройством и хранящиеся в ограниченной области хранения, называемой NVRAM (энергонезависимая оперативная память). С точки зрения злоумышленников, это ограничение затрудняет постоянную компрометацию сетевых устройств, поэтому, например, в масштабных атаках на домашние маршрутизаторы участвуют автоматизированные ботнеты, которые периодически сканируют и повторно заражают маршрутизатор.
Однако в сценарии целенаправленной атаки на корпоративную сеть злоумышленники предпочитают оставаться незаметными, а не атаковать одно и то же устройство несколько раз, чтобы не спровоцировать обнаружение, которое может быть осуществлено, если уязвимость станет общедоступной. Они также предпочитают иметь долгосрочный доступ к таким устройствам и использовать их в качестве мостов во внутренние сети, а также поворотных точек, с которых они могут осуществлять латеральное перемещение и расширять доступ к другим непубличным устройствам.
Возможности стойкости в балансировщиках нагрузки Citrix, F5
С 2019 года в балансировщиках нагрузки Citrix и F5 появилось три критических уязвимости (CVE-2019-19781, CVE-2020-5
902 и CVE-2022-1388), эти уязвимости были публично задокументированы и использовались в дикой природе, что вызвало предупреждения со стороны Агентства кибербезопасности и защиты инфраструктуры США (CISA) и других организаций. В связи с этим исследователи из компании Eclypsium, специализирующейся на защите встроенного ПО, недавно изучили возможности злоумышленников по сохранению уязвимостей на таких устройствах. Их результаты были опубликованы в отчете в среду.
В мае 2022 года компания Mandiant, специализирующаяся на безопасности, сообщила, что кибершпионский агент - на тот момент его идентифицировали как UNC3524, но позже связали с российской государственной группировкой APT29 (Cozy Bear) - совершил вторжение в корпоративные сети, которое было скомпрометировано благодаря установке бэкдора. Вторжение оставалось незамеченным в течение длительного периода времени на сетевых устройствах, включая балансировщики нагрузки, которые не поддерживали такие средства обнаружения, как Endpoint Detection and Response (EDR), и работали под управлением старых версий CentOS и BSD. Хотя Mandiant не назвала эти устройства и их производителей, исследователи Eclypsium полагают, что это устройства F5 и Citrix, поскольку балансировщик нагрузки F5 работает под управлением CentOS, а Citrix (бывший Netscaler) - под FreeBSD.
“One characteristic of UNC3524 stands out: their TTP is unreliable, they use modified open source software to build their backdoor, and appear to only know enough about the system to achieve the most basic goals,” Eclypsium researchers wrote in their paper said the report. Report. “Their implants were so unreliable that they installed network shells for the sole purpose of restarting them after they died. It was this feature that became the catalyst for this research, and the open question was: could it be done on a load balancer? Using an off-the-shelf C2 framework? Is the malware resilient enough to persist across reboots or even upgrades? Is it possible to infect a device so deeply that a clean wipe and reinstall is not enough?”
Many attack groups choose to use cracked versions of commercial attack frameworks such as Cobalt Strike or Brute Ratel, but Eclypsium researchers wanted something open source and easily used by less sophisticated attackers, so they chose Sliver, an open source Adversary simulation framework for their test implants. Sliver is written in Go, so it is cross-platform and provides rotation and tunneling capabilities.
Чтобы выяснить, какие файлы сохраняет балансировщик нагрузки F5 при перезагрузке и обновлении прошивки, исследователи обратились к функции резервного копирования конфигурации, доступной через интерфейс управления, с помощью которой можно создать архив со всеми конфигурациями и настройками, которые впоследствии можно будет взять при новой установке. Развертывание. Из архива, содержащего сотни файлов, исследователи выбрали три исполняемых сценария и файлы конфигурации, которые могли выполнять сценарии при определенных событиях.
“An unexpected finding in this study was vendor documentation; it turns out that these devices contained a wealth of information about undocumented features and functionality over the years,” the researchers said. “Thanks to the vendor, this research would have been much more difficult without documentation. It’s important to understand how the device handles its configuration files.”
