CISA предупреждает о обнаружении скрытого вредоносного ПО на взломанных устройствах Pulse Secure

62
5 причин использовать хостинг от Hostzealot

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало сегодня предупреждение о более чем дюжине образцов вредоносных программ, обнаруженных на эксплуатируемых устройствах Pulse Secure, которые в значительной степени не обнаруживаются антивирусными продуктами.

По крайней мере, с июня 2020 года устройства Pulse Secure в правительственных учреждениях США, объектах критической инфраструктуры и различных организациях частного сектора стали объектом атак со стороны злоумышленников.

Злоумышленники использовали несколько уязвимостей ( CVE-2019-11510 , CVE-2020-8260 , CVE-2020-8243 , CVE-2021-2289 ) для первоначального входа и разместили веб-оболочки для доступа через черный ход.

Сегодня CISA опубликовала отчеты об анализе 13 вредоносных программ, некоторые из которых состоят из нескольких файлов, обнаруженных на скомпрометированных устройствах Pulse Secure. Администраторам настоятельно рекомендуется просматривать отчеты на предмет индикаторов компрометации и узнавать о тактике, методах и процедурах злоумышленника.

Все файлы, проанализированные CISA, были обнаружены на взломанных устройствах Pulse Connect Secure, а некоторые из них были модифицированными версиями законных скриптов Pulse Secure.

В большинстве случаев вредоносные файлы представляли собой веб-оболочки для активации и выполнения удаленных команд для сохранения и удаленного доступа, но также присутствовали утилиты.

В отношении одного из образцов вредоносного ПО CISA отмечает, что это «модифицированная версия модуля Pulse Secure Perl», а именно DSUpgrade.pm — файл ядра в процедуре обновления системы, — который злоумышленники преобразовали в веб-оболочку (ATRIUM) для извлечения и выполнения. удаленные команды.

Согласно отчету Mandiant, злоумышленник превратил легитимные файлы в веб-оболочки STEADYPULSE, HARDPULSE и SLIGHTPULSE, а также в один из вариантов утилиты THINBLOOD LogWiper.

В другом случае злоумышленник модифицировал системный файл Pulse Secure для кражи учетных данных у пользователей, которые успешно вошли в систему. Собранная информация затем сохранялась в файле во временном каталоге на устройстве.

Анализ CISA также является модифицированной версией Unix-приложения для размонтирования, которая давала злоумышленнику постоянство и удаленный доступ, подключая функцию размонтирования скомпрометированного Unix-устройства.

Другой инструмент Linux, обнаруженный в этих атаках, — это THINBLOOD Log Wiper, замаскированный под названием «dsclslog». Как видно из названия, цель утилиты — удалить файлы журнала доступа и событий.

Большинство файлов, которые CISA обнаружила на взломанных устройствах Pulse Secure, не были обнаружены антивирусными решениями на момент анализа; и только один из них присутствовал на платформе сканирования файлов VirusTotal, добавленной два месяца назад и обнаруженной одним антивирусным ядром как вариант веб-оболочки ATRIUM.

Агентство рекомендует администраторам усилить систему безопасности, следуя передовым методам:

  • Поддерживайте актуальные антивирусные сигнатуры и антивирусные ядра.
  • Регулярно обновляйте исправления операционной системы.
  • Отключите службы общего доступа к файлам и принтерам. Если эти службы необходимы, используйте надежные пароли или проверку подлинности Active Directory.
  • Ограничьте возможность (разрешения) пользователей устанавливать и запускать нежелательные программные приложения. Не добавляйте пользователей в группу локальных администраторов, если это не требуется.
  • Обеспечьте соблюдение политики надежных паролей и регулярно меняйте пароли.
  • Соблюдайте осторожность при открытии вложений электронной почты, даже если вложение ожидается и отправитель известен.
  • Включите персональный брандмауэр на рабочих станциях агентства, настроенный на отклонение нежелательных запросов на подключение.
  • Отключите ненужные сервисы на рабочих станциях и серверах агентства.
  • Сканирование и удаление подозрительных вложений в сообщениях электронной почты; убедитесь, что отсканированное вложение соответствует «истинному типу файла» (т. е. расширение соответствует заголовку файла).
  • Отслеживайте привычки пользователей к просмотру веб-страниц; ограничить доступ к сайтам с неблагоприятным содержанием.
  • Соблюдайте осторожность при использовании съемных носителей (например, флэш-накопителей USB, внешних дисководов, компакт-дисков и т. Д.).
  • Перед запуском просканируйте все программное обеспечение, загруженное из Интернета.
  • Поддерживайте ситуационную осведомленность о последних угрозах и внедряйте соответствующие списки контроля доступа (ACL).

В качестве меры предосторожности владельцы и администраторы системы должны проверять каждое изменение конфигурации перед его применением, чтобы избежать каких-либо инцидентов.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии