ΑρχικήsecurityΧάκερ διεισδύουν σε συσκευές Windows μέσω επιθέσεων Sliver και BYOVD

Χάκερ διεισδύουν σε συσκευές Windows μέσω επιθέσεων Sliver και BYOVD

Μια κακόβουλη ομάδα hacking χρησιμοποιεί τα exploits Sunlogin για να αναπτύξει την post-exploitation εργαλειοθήκη Sliver και να εξαπολύσει επιθέσεις Windows BYOVD με σκοπό να υπονομεύσει το λογισμικό ασφαλείας. Αυτή η νέα εκστρατεία αντιπροσωπεύει μια σοβαρή απειλή που απαιτεί άμεση δράση προτού να είναι πολύ αργά.

Δείτε επίσης: Ο διαβόητος χάκερ Julius “Zeekill” Kivimäki συνελήφθη στη Γαλλία

Το περασμένο καλοκαίρι, το Sliver κυκλοφόρησε από τον Bishop Fox ως εναλλακτική λύση για το Cobalt Strike και γρήγορα κέρδισε έδαφος μεταξύ των κακόβουλων φορέων για την ικανότητά του να διεξάγει επιτήρηση δικτύου, να εκτοξεύει εντολές και DLL ανακλαστικά, να γεννά συνεδρίες ή να χειρίζεται διεργασίες.

Σύμφωνα με μια έκθεση του Κέντρου Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας AhnLab (ASEC), επιθέσεις που παρατηρήθηκαν πρόσφατα στοχεύουν δύο ευπάθειες του 2022 στο Sunlogin, ένα λογισμικό τηλεχειρισμού από έναν Κινέζο προγραμματιστή.

Δείτε επίσης: Twitter: Χάκαραν τον λογαριασμό του κορυφαίου cyber διπλωμάτη

Αφού εκμεταλλευτούν αυτά τα τρωτά σημεία για να παραβιάσουν μια συσκευή, οι εισβολείς χρησιμοποιούν το PowerShell script για να ανοίξουν reverse shells ή να εγκαταστήσουν άλλα payloads, όπως το Sliver, το Gh0st RAT ή το XMRig Monero coin miner.

Sunlogin

Φέρνοντας έναν κακόβουλο driver στην επίθεση

Η επίθεση ξεκινά με την εκμετάλλευση των τρωτών σημείων CNVD-2022-10270 / CNVD-2022-03672 RCE στο Sunlogin έκδοση 11.0.0.33 και παλαιότερες, χρησιμοποιώντας άμεσα διαθέσιμα proof of concept (PoC) exploits.

Οι εισβολείς αξιοποιούν το ελάττωμα για να εκτελέσουν ένα obfuscated PowerShell script για να απενεργοποιήσουν τα προϊόντα ασφαλείας πριν από την ανάπτυξη των backdoors.

Το script αποκωδικοποιεί ένα φορητό executable .NET και το φορτώνει στη μνήμη. Αυτό το executable είναι μια τροποποιημένη έκδοση του εργαλείου ανοιχτού κώδικα Mhyprot2DrvControl, που δημιουργήθηκε για την κατάχρηση ευάλωτων Windows drivers για την εκτέλεση κακόβουλων ενεργειών με δικαιώματα σε επίπεδο kernel.

Το Mhyprot2DrvControl καταχράται συγκεκριμένα το αρχείο mhyprot2.sys, ένα ψηφιακά υπογεγραμμένο anti-cheat driver για το Genshin Impact που η Trend Micro παρατήρησε ότι χρησιμοποιείται για επιθέσεις ransomware από πέρυσι.

Δείτε επίσης: Χρήστες Android: Απεγκαταστήστε αμέσως αυτές τις 12 εφαρμογές

Μετά τη λήψη του driver, οι κακόβουλοι φορείς εκμεταλλεύονται την ευπάθειά του για να αποκτήσουν Windows kernel privileges – μια δύναμη που μπορεί να αξιοποιηθεί για να σταματήσουν τις διαδικασίες ασφαλείας που διατηρούνται ασφαλείς από τα προγράμματα user-mode.

Sliver

Το δεύτερο μέρος του PowerShell script κατεβάζει το Powercat από μια εξωτερική πηγή και το χρησιμοποιεί για να εκτελέσει ένα reverse shell που συνδέεται με τον C2 server, παρέχοντας στον εισβολέα απομακρυσμένη πρόσβαση στη συσκευή που έχει παραβιαστεί.

Σε ορισμένες περιπτώσεις που παρατηρήθηκαν από την ASEC, οι επιθέσεις Sunlogin ακολουθήθηκαν από την εγκατάσταση ενός Sliver implant (“acl.exe”). Οι απειλητικοί φορείς χρησιμοποίησαν το implant που δημιουργήθηκε από το πλαίσιο Sliver στο “Session Mode” χωρίς τη χρήση συσκευαστών.

Sunlogin  Sliver

Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι χρησιμοποίησαν το Gh0st RAT (remote access trojan) για απομακρυσμένη διαχείριση αρχείων, key logging, εκτέλεση εντολών από απόσταση και κλοπή δεδομένων.

Η Microsoft συνιστά στους admins των Windows να ενεργοποιούν τη λίστα αποκλεισμού ευάλωτων driver για προστασία από επιθέσεις BYOVD.

Η Microsoft προσφέρει λεπτομερή καθοδήγηση σχετικά με τη χρήση των Windows Memory Integrity ή Windows Defender Application Control (WDAC) για την ενεργοποίηση της λίστας αποκλεισμού.

Ως μέσο για να αποτρέψετε αυτή την επίθεση, θα πρέπει να μπλοκάρετε το hash του AV killer – “f71b0c2f7cd766d9bdc1ef35c5ec1743” και να παρακολουθείτε προσεκτικά τα event logs για τυχόν νεοεγκατεστημένες υπηρεσίες με όνομα “mhyprot2”.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS