Είναι οι λάκκοι για τους διαχειριστές: Οι ερευνητές ανακάλυψαν έναν παράγοντα απειλής που επιτυγχάνει πρόσβαση σε επίπεδο διαχειριστή σε στοχευμένα συστήματα, αναπτύσσοντας ένα νέο, εξελιγμένο πρόγραμμα λήψης και μερικά εργαλεία κλιμάκωσης προνομίων από την οικογένεια "πατάτα".

Το "CherryLoader" είναι ένας πολυβάθμιος, αρθρωτός φορτωτής γραμμένο στα Golang, το οποίο με το όνομα και το λογότυπό του επιχειρεί να μεταμφιεστεί ως το νόμιμο Λογισμικό λήψης σημειώσεων «Cherrytree»..

Σε δύο πρόσφατες εισβολές παρατήρησαν αναλυτές στο Arctic Wolf, ένας εισβολέας που εργαζόταν από μια IP στην Ολλανδία χρησιμοποίησε το CherryLoader για να εγκαταλείψει δύο αξιοσημείωτα off-the-shelf εργαλεία για να αποκτήσει πρόσβαση διαχειριστή. Τέλος, στο τέλος της αλυσίδας επίθεσης, ο αντίπαλος ανέπτυξε ένα σενάριο bash για να αφαιρέσει τα εργαλεία ασφαλείας των Windows από την εικόνα.

Ωστόσο, το πιο αξιόλογο χαρακτηριστικό του CherryLoader είναι η ικανότητά του να ανταλλάσσει απρόσκοπτα ωφέλιμα φορτία χωρίς να χρειάζεται να μεταγλωττίζει ξανά κώδικα.

«Η δυνατότητα ανταλλαγής ωφέλιμων φορτίων σε αυτή την περίπτωση είναι ένα τεχνούργημα του αρθρωτού σχεδιασμού του κακόβουλου λογισμικού», εξηγεί ο Κερκ Σολούκ, ανώτερος διευθυντής έρευνας ασφάλειας της Arctic Wolf. «Γενικά μιλώντας, το κακόβουλο λογισμικό, είτε πρόκειται για πρόγραμμα λήψης, botnet, RAT κ.λπ., έχει γίνει πιο αρθρωτό και λιγότερο μονολιθικό με την πάροδο του χρόνου, επομένως εδώ έχουμε έναν συγγραφέα που χρησιμοποιεί μια πιο σύγχρονη γλώσσα [Go] και ακολουθεί ένα κοινό σχέδιο σχεδίασης. ”

CherryLoader's Bowl of Malware

Όπως αναφέρθηκε, ο εισβολέας πίσω από τις δύο πρόσφατες εισβολές χρησιμοποίησε τη σπονδυλωτή ευελιξία του CherryLoader για να αναπτύξει δύο δημόσια διαθέσιμα εργαλεία κλιμάκωσης προνομίων: PrintSpoofer και JuicyPotatoNG.

Το τελευταίο είναι μια πρόσφατη επανάληψη σε μια μακρά σειρά με θέμα την πατάτα εργαλεία κλιμάκωσης προνομίων (το πρωτότυπο Ζουμερή πατάτα, BadPotato), όπως αποδεικνύεται στην απίστευτη προσφορά πωλήσεων: «άλλο ένα [εργαλείο] κλιμάκωσης τοπικών προνομίων των Windows από λογαριασμό υπηρεσίας σε σύστημα».

Το πρώτο είναι ένα δημοφιλές εργαλείο, με 323 πιρούνια από την κυκλοφορία του πριν από περισσότερα από τρία χρόνια. Αυτό επίσης, σύμφωνα με τον συγγραφέα του, απορρέει από τη γενεαλογία potato των κυλιόμενων κλιμάκων προνομιακών Windows. Διαχωρίζεται εκμεταλλευόμενος το λεγόμενο "Σφάλμα εκτυπωτή", ένα μέσο χειρισμού ενός ελεγκτή τομέα Active Directory (AD) για να συνδεθείτε ξανά σε ένα σύστημα που έχει διαμορφωθεί με "απεριόριστη ανάθεση". Η απεριόριστη ανάθεση είναι μια εξαιρετικά επιτρεπτή διαμόρφωση AD που ανοίγει την πόρτα στην πλαστοπροσωπία μέσα στο σύστημα.

Οι χάκερ πίσω από το CherryLoader χρησιμοποίησαν αυτά τα εργαλεία για να αποκτήσουν πρόσβαση υψηλού επιπέδου σε στοχευμένα συστήματα, οπότε απέσυραν το user.bat, ένα σενάριο δέσμης αρχείων που εκτελεί μια σειρά από λειτουργίες επιμονής και αντι-ανάλυσης. Μεταξύ άλλων, δημιουργεί έναν λογαριασμό διαχειριστή στο σύστημα, εισάγει στη λίστα επιτρεπόμενων και εξαιρεί τα εκτελέσιμα αρχεία στο Windows Defender και στο Microsoft Defender, αντίστοιχα, απενεργοποιεί το Microsoft Defender AntiSpyware και τροποποιεί τους κανόνες του τείχους προστασίας για να ενεργοποιήσει τις απομακρυσμένες συνδέσεις.

Ο Arctic Wolf αρνήθηκε να σχολιάσει το αποτέλεσμα οποιασδήποτε εισβολής σε αυτήν την εκστρατεία.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint-security/cherryloader-downloader-serious-privilege-execution