Istraživači NCSC-a otkrili su sofisticirani backdoor nazvan “Pygmy Goat” koji je bio postavljen na narušeni Sophos XG firewall uređaje.
Maliciozni softver, koji je otkrio Nacionalni centar za sajber sigurnost (NCSC), pruža napadačima uporan pristup i moćne mogućnosti za održavanje uporišta u mrežama žrtava.
Pygmy Goat je izvorni x86-32 ELF zajednički objekt koji koristi tehniku LD_PRELOAD da se ubaci u proces SSH demona (sshd) zaraženih uređaja.
Ovo omogućava malicioznom softveru da zakači kritične funkcije i presreće mrežni promet kroz zaštitni zid. Backdoor koristi više metoda za uspostavljanje komandne i kontrolne (C2) komunikacije.
Može pratiti dolazne ICMP pakete za posebno kreirane poruke koje sadrže šifrovane informacije povratnog poziva.
Dodatno, spaja SSH funkciju prihvatanja za traženje određene sekvence bajtova u dolaznim vezama, koja se može koristiti kao alternativni C2 kanal .
Jednom aktiviran, Pygmy Goat pruža napadačima niz mogućnosti, uključujući:
- Postavljanje udaljenih školjki (/bin/sh i /bin/csh)
- Kreiranje cron zadataka za upornost
- Hvatanje mrežnih paketa
- Uspostavljanje obrnutog SOCKS proxyja za pristup internim mrežama
Maliciozni softver koristi TLS enkripciju za C2 komunikaciju i provjerava certifikat servera u odnosu na ugrađeni CA certifikat koji se maskira kao jedan od Fortinet-a.
Ovo sugerira da su napadači možda u početku razvili backdoor za ciljanje FortiGate uređaja prije nego što su ga prilagodili za Sophos firewall.
Istraživači su primijetili da, iako Pygmy Goat ne koristi nove tehnike, pokazuje visok nivo sofisticiranosti u spajanju s normalnim mrežnim prometom i odgovaranju na zahtjev na komande napadača.
Čist, dobro strukturiran kod sugerira da su ga razvili vješti akteri prijetnji. S obzirom na kritičnu ulogu ovih uređaja u mrežnoj sigurnosti, otkriće Pygmy Goat-a na Sophos XG zaštitnim zidovima je posebno zabrinjavajuće.
Kao odbrana perimetra, narušeni zaštitni zidovi mogu pružiti napadačima postojano uporište i vidljivost u sav promet koji ulazi i izlazi iz mreže organizacije.
Ovaj incident naglašava važnost osiguranja uređaja mrežne infrastrukture i njihovog praćenja u potrazi za znakovima kompromisa. Organizacije koje koriste Sophos XG zaštitne zidove treba odmah da provere da li postoje indikatori narušavanja i da primene sva dostupna bezbjednosna ažuriranja.
NCSC je objavio pravila otkrivanja i YARA potpise kako bi pomogao u identifikaciji infekcija male koze. Ključni pokazatelji uključuju prisustvo sumnjivih datoteka poput “/lib/libsophos.so” i neobičnih Unix utičnica kao što je “/tmp/.sshd.ipc”.
Iako je prvobitno pronađen na Sophos uređajima, istraživači upozoravaju da dizajn Pygmy Goat-a sugerira da bi potencijalno mogao ciljati na širi raspon mrežnih uređaja zasnovanih na Linuxu.
Fleksibilnost malicioznog softvera i upotreba elemenata sa temom FortiGate ukazuju na to da napadači možda proširuju svoj fokus na više dobavljača firewall-a.
Ovo otkriće prati nedavne izvještaje drugih hakera koji ciljaju na mrežnu infrastrukturu, uključujući Mandiantove nalaze o napadima na FortiGate uređaje koristeći slične taktike.
Kako se napadači sve više fokusiraju na ove kritične tačke prigušenja, organizacije moraju dati prioritet sigurnosti svojih mrežnih uređaja i implementirati robustan nadzor kako bi brzo otkrile i odgovorile na tako sofisticirana pozadinska vrata.
Kontinuirana budnost, brzo zakrpe i strategije dubinske odbrane su od suštinskog značaja za zaštitu od evoluirajućih prijetnji mrežne infrastrukture.
Izvor: CyberSecurityNews