روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مهاجمین سایبری موقع اجرای حملات مختلف دوست دارند اولویت را برای ابزار قانونی بگذارند زیرا این ابزارها به آنها کمک میکنند همچنان که هزینههای توسعه بدافزار را به حداقل میرسانند، سیستمهای شناسایی را نیز دور بزنند. اسکن شبکه، گرفتن حافظه فرآیند، استخراج داده، اجرای ریموت فایلها و حتی رمزگذاری درایوها- همگی اینها میتوانند با نرمافزاری قابل اعتماد انجام شوند. برای سفت کردن جای پا داخل زیرساختی دستکاریشده و پیشبرد حمله، مهاجمین میتوانند از بدافزارهای از پیش نصبشده استفاده کرده یا در کنار کارمندان از طریق سرورهای RDP یا ویپیان سازمانی (برای انجام این کار مهاجمین باید اکانتهایی با مزیتهای مناسب داشته باشند) خود را در شبکه جا کنند. روش دیگر برای اتصال به شبکه داخلی سازمانی مورد حمله واقعشده شامل استفاده از ابزارهای میشود برای راهاندازی تونلهای شبکه یا پورتهای شبکه بین سیستمهای سازمانی و سرورهای مهاجم که همین به آنها اجازه میدهد NAT و فایروالهای را برای دسترسی به سیستمهای داخلی دور بزنند. این دستهبندی نرمافزاری است که قرار است در این مقاله بدان بپردازیم. با ما همراه باشید.
آمار
در حال حاضر هیچ کمبودی در ابزارهایی که بتوان از آنها برای راه اندازی یک تونل شبکه بین دو سیستم استفاده کرد وجود ندارد. برخی از اینها مستقیماً متصل میشوند، در حالیکه برخی دیگر از پروکسی استفاده میکنند که آدرس IP سرور مهاجم را پنهان میکند. موارد زیر ابزارهایی هستند که در سه سال گذشته هنگام پاسخگویی به رخدادهای سایبری با آنها مواجه شدهایم.
راهرو
لیگولو
3 پروکسی
سگ تونل
اسکنه
FRP
ngrok
gs-netcat
PLINK
iox
nps
متداولترین آنها ngrok و FRP بودند. برنامههای کاربردی از این نوع 10 درصد از کل حملات را تشکیل میدهند.
QEMU به عنوان یک ابزار تونل زنی
موقع بررسی رخداد سایبری در یک شرکت بزرگ، فعالیت مخرب غیرمعمولی را در داخل یکی از سیستمها شناسایی کردیم. با تجزیه و تحلیل انجامشده متوجه شدیم که دشمن موارد زیر را مستقر و راه اندازی کرده است:
- ابزار اسکن شبکه Angry IP Scanner
- رمز عبور mimikatz، هش و استخراج کننده بلیط Kerberos و ابزار حمله Active Directory
- شبیه ساز سخت افزار QEMU
دو مورد اول خود توضیحی بود، اما QEMU چند سوال را مطرح کرد. فاکتورهای مخرب چه استفاده ای از مجازیساز خواهند داشت؟
ما توانستیم خط فرمان اجرای QEMU را از حافظه ماشین در معرض خطر بازیابی کنیم. کاشف بعمل آمد بدون LiveCD یا تصویر دیسک شروع شده است که برای QEMU بسیار غیرعادی است.
اجازه دهید نگاهی دقیق تر به این استدلال ها بیندازیم.
m 1M -: اندازه RAM را برای تخصیص به ماشین مجازی مشخص میکند. در این مورد 1 مگابایت بود که برای اکثر سیستم عاملها کاملاً ناکافی بود.
-netdev user,id=lan,restrict=off:یک رابط شبکه مجازی با نام lan و نوع user ایجاد میکند که به ماشین مجازی اجازه میدهد از طریق پشته شبکه میزبان با دنیای خارج ارتباط برقرار کند. گزینه limited=off محدودیت های اتصالات ورودی و خروجی را حذف می کند.
-netdev socket,id=sock,connect=<IP>:443: یک رابط شبکه از نوع سوکت با نام sock ایجاد میکند که اتصال به یک سرور راه دور در آدرس IP و پورت 443 مشخص شده را فراهم میآورد.
-netdev hubport,id=port-lan,hubid=0,netdev=lan : پورتی را با hubid=0 به هاب مجازی اضافه می کند که به شبکه واسط شبکه مجازی lan متصل است.
-netdev hubport,id=port-sock,hubid=0,netdev=sock:مشابه موارد فوق، یک پورت دیگر به هاب مجازی متصل به جوراب رابط شبکه مجازی اضافه میکند.
-nographic : QEMU را در حالت غیر GUI با خروجی کنسول شروع میکند.
آدرس IP موجود در آرگومانها بلافاصله توجه ما را به خود جلب کرد: خارجی بود و کاملاً با شرکت مورد حمله ارتباط نداشت، بنابراین ما با اسناد QEMU را مورد بررسی قرار دادیم و متوجه شدیم QEMU از اتصالات بین ماشینهای مجازی پشتیبانی میکند: گزینه -netdev دستگاههای شبکه (بکاند) را ایجاد میکند که سپس میتوانند به ماشینهای مجازی متصل شوند. هر یک از دستگاه های شبکه متعدد بر اساس نوع خود تعریف میشود و از گزینه های اضافی پشتیبانی میکند. در زیر توضیحی از مقادیر -netdev استفاده شده است.
کاربر (پشته شبکه کاربر)
این سادهترین راه برای اتصال ماشین مجازی به شبکه است. ترافیک از پشته شبکه میزبان عبور میکند و ماشین مجازی به شبکه متصل میشود که گویی یک برنامه معمولی در ماشین میزبان است.
هابپورت (مرکز مجازی)
چندین دستگاه شبکه را به طور مشابه به یک هاب شبکه متصل می کند.
سوکت
ماشینهای مجازی را مستقیماً از طریق سوکتهای شبکه برای ایجاد توپولوژیهای شبکه VM یا پیوند دادن ماشینهای مجازی روی میزبانهای مختلف متصل میکند.
ما هیچ روشی که بشود به طور مطمئن تعیین کرد چطور مهاجمین QEMU را روی سرور خود نصب کردند نداشتیم و از این رو تصمیم گرفتیم تکنیکی که بالاتر شرح داده شد بستری مشتکل از سه سیستم آزمایش کنیم:
InternalHost در داخل شبکه قرار داشت، بدون دسترسی به اینترنت و یک سرور RDP روی پورت 3389 اجرا میکرد. این سیستم ایزوله را بدون دسترسی به اینترنت شبیه سازی میکرد.
PivotHost در داخل شبکه قرار داشت، اما دسترسی به اینترنت داشت. سیستمی را شبیه سازی میکرد که توسط مهاجمان نفوذ کرده بود و برای دسترسی به هاست داخلی استفاده میشد.
AttackerServer در فضای کلود میزبانی میشد و سرور حریف را شبیهسازی میکرد.
هدف ما دسترسی به InternalHost از AttackerServer بود.
تحلیل ترافیک شبکه QEMU
QEMU از هیچ رمزگذاری اضافی در هنگام تونل سازی ترافیک استفاده نمیکند. بستههای محصورشده را بدون رمز ارسال میکند: دادههای بسته در سطح برنامه که به سرور ارسال میشود، شامل اندازه فریم اترنت محصور شده به دنبال آن خود فریم اترنت میشود.
جمعبندی
سناریوی مهاجمینی که برای اجرای حملات مختلف از ابزارهای قانونی استفاده میکنند برای متخصصین واکنش به رخداد خبر داغ و تازهای نیست؛ با این حال باید اعتراف کنیم گاهی عاملین مخرب با اپهای هوشمندانهای اجرای حمله خود را شروع میکنند؛ نمونهاش همین QEMU. این در ادامه مفهوم محافظت چند سطحی را پشتیبانی میکند، مفهومی که هم محافظت مطمئن اندپوینت را پوشش میدهد و هم راهکارهای تخصصی برای شناسایی و محافظت در برابر حملات پیچیده و هدفدار شامل آنهایی که به دست انسان عملیاتی میشوند. فقط امنیت جامعی که شامل نظارت 24 ساعت شبانهروز در هفت روز هفته شبکه میشود (NDR, NGFW) و اندپیونت (EDR, EPP) میتوانند ناهنجاریها را به طور مرتب شناسایی کرده و در مرحله اولیه حمله را خنثی کنند. سرویس MDR ما قادر به شناسایی نوع فعالیت مشکوک QEMU است و نیز در ادامه قوانین درست IDS نیز به پلتفرم KATA با حکم Backdoor.Agent.QEMU.C&C افزوده شده است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
