Ta mesec bo MITER v svojo zbirko podatkov ATT&CK dodal dve podtehniki, ki so ju na veliko izkoriščali severnokorejski akterji groženj.

O prva, ne povsem nova, podtehnika vključuje manipulacija preglednosti, soglasja in nadzora (TCC), varnostni protokol, ki ureja dovoljenja aplikacij v Applovem sistemu macOS.

Drugi — imenovan ugrabitev »fantomske« dinamično povezovalne knjižnice (DLL). — je manj znana podmnožica ugrabitve DLL, kjer hekerji izkoristijo navedene, a neobstoječe datoteke DLL v sistemu Windows.

Tako manipulacija TCC kot fantomski ugrabitev DLL sta severnokorejskim hekerjem omogočila pridobitev privilegiranega dostopa do okolja macOS oziroma Windows, iz katerih so lahko izvajali vohunjenje in druga dejanja po izkoriščanju.

Manipulacija TCC

"Severna Koreja je oportunistična," pravi Marina Liang, inženirka za obveščanje o grožnjah pri Interpres Security. »Imajo dvojni namen vohunjenja in ustvarjanja prihodkov, zato si bodo prizadevali, da bodo tam, kjer so njihove tarče. In ker postaja macOS vse bolj priljubljen, tam so se začeli vrteti«.

Eden od načinov, kako severnokorejske napredne trajne grožnje (APT) v zadnjem času vdirajo v računalnike Mac, je prek TCC, bistvenega okvira za nadzor dovoljenj aplikacij.

TCC ima bazo podatkov na uporabniški in sistemski ravni. Prvi je zaščiten z dovoljenji – uporabnik bi potreboval popoln dostop do diska (FDA) ali kaj podobnega –, drugi pa z zaščito sistemske celovitosti (SIP), funkcijo, ki je bila prvič predstavljena z macOS Sierra. Teoretično privilegiji in SIP ščitijo pred zlonamernim dostopom TCC.

V praksi pa obstajajo scenariji, v katerih je mogoče vsakega spodkopati. Skrbniki in varnostne aplikacije lahko na primer zahtevajo FDA za pravilno delovanje. Včasih uporabniki zaobidejo SIP.

"Ko razvijalci potrebujejo prilagodljivost na svojem računalniku ali pa jih blokira operacijski sistem, lahko zmanjšajo tiste kontrole, ki jih ima Apple, da jim omogočijo kodiranje in ustvarjanje programske opreme," pojasnjuje Liang. »Nenavadno sem videl, da bodo razvijalci za odpravljanje težav poskušali ugotoviti, kaj je na mestu [v sistemu], in to onemogočiti, da bi videli, ali to rešuje njihovo težavo.«

Ko je SIP izklopljen ali FDA vklopljen, imajo napadalci okno za dostop do baze podatkov TCC in si podelijo dovoljenja, ne da bi opozorili uporabnika.

Obstajajo tudi številni drugi načini, kako potencialno priti skozi TCC. Na primer, nekateri občutljivi imeniki, kot je /tmp, so v celoti zunaj domene TCC. Aplikacija Finder ima FDA privzeto omogočeno in ni navedena v uporabnikovem oknu Varnost in zasebnost, kar pomeni, da bi se moral uporabnik neodvisno zavedati in ročno preklicati njena dovoljenja. Napadalci lahko uporabijo tudi socialni inženiring, da usmerijo uporabnike k onemogočanju varnostnih kontrol.

Številna orodja za zlonamerno programsko opremo so bila zasnovana za manipulacijo TCC, vključno z Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET in drugimi neimenovanimi trojanci macOS, zabeleženimi na VirusTotal. Liang je identificiral zlonamerno programsko opremo skupine Lazarus Group, ki poskuša iz podatkovne baze TCC odstraniti tabelo za dostop in CloudMensis avtorja APT37 (aka InkSquid, RedEyes, BadRAT, Reaper ali ScarCruft) vztrajno poskuša ugotoviti, kje je SIP onemogočen, da naloži lastno zlonamerno bazo podatkov.

Dark Reading je kontaktiral Apple za izjavo o zlorabah TCC in ni prejel nobenega odgovora.

Za blokiranje napadalcev, ki izkoriščajo TCC, je najpomembneje, da je SIP omogočen. Poleg tega Liang poudarja, da je treba vedeti, katere aplikacije imajo kakšna dovoljenja v vašem sistemu. »To je zavedanje, čemu dajete dovoljenja. In potem – očitno je to lažje reči kot narediti – uveljavljanje [načela] najmanj privilegiranega [dostopa]. Če nekatere aplikacije ne potrebujejo nujno določenih dovoljenj za delovanje, jih odstranite,« pravi.

Phantom DLL ugrabitev

Poleg ranljivosti TCC akterji groženj na območju APAC izkoriščajo še bolj čudno napako v sistemu Windows. Iz neznanega razloga se operacijski sistem sklicuje na številne datoteke DLL, ki dejansko ne obstajajo.

"Ogromno jih je," se čudi Liang. "Morda je nekdo delal na projektu za ustvarjanje določenih DLL-jev za posebne namene in morda je bil odložen, ali ni imel dovolj sredstev ali pa je preprosto pozabil nanj."

Dark Reading se je obrnil na Microsoft za pojasnila o tej točki.

Za hekerja je tako imenovana "fantomska" datoteka DLL kot prazno platno. Preprosto lahko ustvarijo lastne zlonamerne DLL-je z istim imenom in jih zapišejo na isto mesto, operacijski sistem pa jih bo naložil brez nihče pametnejših.

Skupina Lazarus in APT 41 (aka Winnti, Barium, Double Dragon) so uporabili to taktiko z IKEEXT, storitvijo, ki je potrebna za preverjanje pristnosti in izmenjavo ključev v okviru varnosti internetnega protokola. Ko se sproži IKEEXT, poskuša naložiti neobstoječo »wlbsctrl.dll«. APT41 je ciljal tudi na druge fantomske DLL-je, kot je »wbemcomn.dll«, ki jih je naložil gostitelj ponudnika Windows Management Instrumentation (WMI).

Dokler se Windows ne znebi fantomskih DLL-jev, Liang toplo priporoča podjetjem, da zaženejo rešitve za spremljanje, uvedejo proaktivne kontrole aplikacij in samodejno blokirajo oddaljeno nalaganje DLL-jev, kar je funkcija, ki je privzeto vključena v Windows Server.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/dprk-exploits-mitre-sub-techniques-phantom-dll-hijacking-tcc-abuse