技術支援
文件
登錄
聯繫我們
從腥到強大:梭子魚ESG零日漏洞的最新視角
若昂·科雷亞
2023年6月28 日 - 技術佈道師
在最近一篇題為“Fishy Zero Day漏洞”的文章中,我們概述了梭子魚郵件安全網關(ESG)令人不安的零日漏洞的發現,這是一種專為電子郵件過濾而設計的設備,現在被識別為CVE-2023-2868。
現在,根據Mandiant深入調查的最新發佈細節,我們對這一安全事件有了更全面的瞭解,揭示了一場複雜的全球攻擊,涉嫌與國家支援的威脅行為者有關。
攻擊媒介
該漏洞最初於 2023 年 5 月 23 日披露,梭子魚建議所有 ESG 使用者立即部署補丁以緩解該問題。
該漏洞存在於 ESG 對 TAR 電子郵件附件的處理中,未經凈化的使用者控制輸入可以觸發命令注入攻擊。TAR 檔案通過 Perl 函數被 ESG 掃描,通過命名具有受控有效負載的檔,攻擊者可以使用 ESG 的系統許可權執行命令,從而有效地獲得根訪問許可權:
qx{$tarexec -O -xf $tempdir/parts/$part '$f'}
|
在這裡,$f是 TAR 存檔中檔的名稱。如您所見,檔名直接傳遞給“qx”,並按原樣執行,無需任何過濾。包含有效負載的檔名在 cybersec 欄位中並不是什麼新鮮事,將反向 shell 部署為可以(並且確實)適合此檔名的“單行”命令相對容易和常見。我們不會直接編寫一個這樣的示例來惡意使用,但可以通過一些google-fu訪問示例。
威脅行為者及其策略
在梭子魚果斷行動和資訊共用的推動下,Mandiant的分析顯示,第一次已知的攻擊早在2022年10月就發生了,大約在公眾承認之前八個月。
目前被追蹤為 UNC4841 的攻擊者使用了一種聰明的策略:他們向 ESG 裝置發送包含惡意 TAR 檔案附件的電子郵件。這些電子郵件被故意設計成顯示為垃圾郵件,從而避免了使用者和管理員的注意,多年來,他們習慣於立即不注意垃圾郵件。
一旦惡意電子郵件被ESG掃描,並且TAR檔中的代碼被執行,它將從互聯網下載額外的可執行代碼,並向攻擊者控制的系統打開反向外殼。提醒一下,反向外殼是一種連接,與使用者連接到伺服器的傳統連接不同,伺服器而是連接到用戶系統並建立連接。這避免了ESG直接暴露和訪問互聯網的需要,並且仍然允許攻擊者進入互聯網。
堅持與進化
儘管梭子魚發佈了補丁,但攻擊者通過改變其有效載荷和持久性策略來避免修復並保持訪問,即使在修補的系統上也是如此,從而表現出驚人的適應性。修訂后的有效負載代碼在補丁可用后的 2 天內確定。
不幸的是,在這種情況下,攻擊者的回應速度比大多數ESG管理員部署的補丁更快。
有效載荷的複雜性和多樣性
攻擊者的方法非常先進,包括創建功能齊全的外掛程式來秘密擴展ESG的功能。三個已確定的後門有效載荷是SEASPY,SALTWATER和SEASIDE,每個有效載荷都提供獨特的後門訪問。
此外,一個名為 SANDBAR 的 rootkit 用於透過隱藏其他模組的進程來保持持久性。這個rootkit將從進程監控工具中刪除,如“ps”,“top”和類似 - 任何由參與攻擊的其他模組生成的進程。它通過禁止這些進程出現在「proc」下來運作。
隱形溝通和堅持
攻擊者巧妙地重用梭子魚的自簽名證書來加密其通信,進一步融入系統。作為部署過程的一部分,ESG 最初將使用保留在已部署系統中的自簽名證書。攻擊者將複製並使用這些證書進行通信,從而顯示為正常流量。
使用多個路徑在系統上持久化,包括利用cron作業(附加多個腳本),修改 /etc/init.d/rc 以在重新啟動時啟動 SEASPY,以及將 SANDBAR 部署為自動載入內核模組。其中每個模組都有方法可以重新建立持久性,以防缺少任何其他模組。
具體目標和歸因
攻擊者的目標是全球的學者、政府和貿易官員,重點關注臺灣、香港和東南亞等地區。在腳本中發現了多個特定的電子郵件位址,每當檢測到時,這些位址都被視為有趣的滲透目標。這是對攻擊中受影響的所有其他目標的補充,這些目標在沒有被專門針對的情況下受到影響。
目標清單將改變,以包括那些在高級別外交活動之前、期間和之後與其他國家進行高級別外交活動的國家官員的目標。
目標組織的模式、利用與先前已知的攻擊者共用的IP基礎設施進行指揮和控制,以及政治動機表明,這場運動是中國國家支持的行為。這種類型的歸因從來都不容易以100%的確定性明確確定,但似乎有大量的特徵指向這一結論。
今後的建議
為了應對這種攻擊的嚴重性和複雜性,梭子魚現在建議隔離和更換ESG,而不是修補,無論ESG設備目前的補丁級別如何。
應檢查網路活動是否匹配梭子魚證書。
已經發佈了一百多個不同的IOC,幫助識別C&C IP,可疑系統活動和其他明顯的妥協跡象,無論是在ESG還是基礎設施中的其他系統,因為有一些證據表明,偵察和掃描是從一些ESG設備執行的,針對ESG可見的其他內部系統。
應查看電子郵件日誌以確定初始入侵。當然,根據梭子魚的建議,ESG本身已經停用,這可能很棘手,但這就是集中式伐木系統的用途。
與往常一樣,儘快修補系統,即使這些系統沒有直接暴露在互聯網上,仍然是實現某種安全性的最基本和最好的第一步。
隨著威脅的發展,披露和補救之間的可接受時間也會縮短。
[披露:作者承認使用ChatGPT來協助本文某些部分的措辭]
