Cuttlefish zlonamjerni softver napada rutere
Cuttlefish je nedavno otkriven zlonamjerni softver od strane Black Lotus Labs tima kompanije Lumen Technologies. Ovaj zlonamjerni softver cilja rutere za kuću i male kancelarije (eng. small office/home office – SOHO). Počinje instaliranjem filtera paketa za inspekciju svih odlaznih veza koristeći određene portove, protokole i odredišne IP adrese. Zlonamjerni softver tada stalno prati sav saobraćaj koji prolazi kroz uređaj i uključuje se kada otkrije određene aktivnosti.
CUTTLEFISH
Zlonamjerni softver Cuttlefish je sofisticirana operacija zlonamjernih aktera koja je u širokoj upotrebi od najmanje jula 2023. godine, a najnovija kampanja je trajala od oktobra 2023. do aprila 2024. godine. Ovaj zlonamjerni softver je prvenstveno ciljao dva turska telekomunikaciona pružaoca usluga i zarazio je oko 600 jedinstvenih IP adresa. Početni vektor pristupa koji se koristi za kompromitovanje mrežne opreme ostaje nejasan.
Cuttlefish cilja SOHO rutere na kojima napadači po dobijanju pristupa primjenjuju bash skriptu koja prikuplja podatke zasnovane na hostu. Skripta preuzima i izvršava zlonamjerni softver, koji je kompajliran za različite arhitekture koje koriste SOHO operativni sistemi. Jednom instaliran, Cuttlefish postavlja filtere paketa za praćenje saobraćaja koji prolazi kroz uređaj. On “njuška” akreditive poslate na javne IP adrese i otima saobraćaj namijenjen privatnim IP adresama. Primarni ciljevi ovog zlonamjernog softvera su usluge zasnovane na oblaku kao što su Alibaba Cloud, AWS, Digital Ocean, CloudFlare i BitBucket.
“Svi podaci poslati preko mrežne opreme u koju je infiltriran ovaj zlonamjerni softver potencijalno su izloženi. Ono što ovu porodicu zlonamjernog softvera čini tako podmuklom je mogućnost da se izvrši otmica HTTP i DNS za konekcije sa privatnim IP adresama. Cuttlefish čeka, pasivno njuškajući pakete, djelujući samo kada je aktivira unaprijed definisani skup pravila. Njuškanje paketa koji koristi Cuttlefish dizajniran je za prikupljanje materijala za autentifikaciju, sa naglaskom na javne usluge zasnovane na oblaku.”
– Black Lotus Labs –
Cuttlefish hijack funkcija omogućava da potencijalno izbjegne anomalnu analitiku zasnovanu na prijavljivanju korištenjem ukradenih akreditiva za autentifikaciju. Takođe može da otme interni mrežni saobraćaj između uređaja unutar određenog data centra, tzv. istok-zapad saobraćaj preko rutera ili saobraćaj od lokacije do lokacije gdje postoji VPN veza uspostavljena između rutera, dajući napadačima pristup bezbjednim resursima koji nisu dostupni putem javnog interneta.
Funkcionisanje
Primjena bash skripta je prva faza ovog napada, koja počinje nabrajanjem uređaja radi dobijanja detalja kao što su lista direktorijuma, sadržaj /etc, pokrenuti procesi, aktivne veze (preko netstat funckije), montiranja i sadržaj “/etc /config” Kada prikupi sve potrebne informacije, arhivira podatke u datoteku pod nazivom “co.tmp.tar.gz” i otprema je na domen koji kontroliše zlonamjerni akter.
Zlonamjerni softver zatim preuzima i izvršava Cuttlefish korisni tovar (eng. payload) u zavisnosti od arhitekture rutera, kao što je Arm, i386, i386_i64, i386_x64, mips32 ili mips64. Ova faza napada je prvenstveno dizajnirana da pasivno njuška mrežne pakete i izdvaja podatke za autentifikaciju koji su povezani sa javnim servisima zasnovanim na oblaku kao što su Alibaba Cloud, AWS, Digital Ocean, CloudFlare i BitBucket kreiranjem proširenog filtera Berkeley paketa (eng. extended Berkeley Packet Filter – eBPF).
Funkcionalnost krađe akreditiva je regulisana na osnovu skupa pravila koji diktira zlonamjerni softver da ili otme saobraćaj namijenjen privatnoj IP adresi ili da pokrene funkciju njuškanja za saobraćaj koji ide ka javnim IP adresama. Ovaj pristup omogućava Cuttlefish zlonamjernom softveru da cilja i eksfiltrira osjetljive podatke iz usluga zasnovanih na oblaku, što potencijalno dovodi do značajne štete i neovlaštenog pristupa.
Prikupljanje akreditiva
Prikupljanje akreditiva je tehnika koju zlonamjerni softver Cuttlefish koristi za dobijanje neovlaštenog pristupa različitim sistemima i resursima u oblaku. Napadači koriste libpcap da kreiraju prošireni Berkeley paketski filter (eBPF) za prisluškivanje i otmicu IP opsega. Oni traže određene oznake u mrežnom saobraćaju koji ukazuju na informacije o akreditivima, kao što su korisnička imena, lozinke ili tokeni za autentifikaciju. Ove oznake uključuju unaprijed definisane stringove kao što su “username”, “password”, ili “access_token” ali i one koje su više ciljane vezane za usluge zasnovane na oblaku.
Zlonamjerni softver traži ove oznake akreditiva u mrežnom saobraćaju koji se poklapa sa određenim parametrima izlazne mreže. Kada identifikuje podudaranje, zlonamjerni softver bilježi ove informacije i šalje ih svom komandnom i kontrolnom (C2) serveru preko HTTP veza sa Base64 kodiranjem. Ova tehnika omogućava napadačima da potencijalno dobiju pristup osjetljivim podacima uskladištenim na resursima u oblaku, a da ne moraju da probiju tradicionalne mrežne perimetre koji mogu imati evidentiranje ili druge bezbjednosne kontrole.
“Ima sposobnost da izvrši manipulaciju rutama, otmice veze i koristi sposobnost pasivnog njuškanja. Sa ukradenim ključnim materijalom, zlonamjerni akter ne samo da preuzima resurse u oblaku povezane sa ciljanim entitetom, već dobija uporište u tom ekosistemu oblaka.”
– Black Lotus Labs –
Funkcionalnost otmice
Funkcionalnost otmice je karakteristika Cuttlefish zlonamjernog softvera koja mu omogućava da presretne i preusmjeri saobraćaj namijenjen privatnim IP adresama. Ova mogućnost omogućava napadačima da dobiju pristup internim mrežama i zaštićenim resursima koji nisu dostupni putem javnog interneta.
Proces otmice počinje preuzimanjem pravila sa servera za komandu i kontrolu (C2), koji određuje interval javljanja za provjeru pravila ažuriranja i različite parametre otmice za HTTP zahteve i DNS pretrage. Zlonamjerni softver tada pokreće dvije niti: jednu da nadgleda ažuriranja u određenom vremenskom intervalu, a drugu da nadgleda sav mrežni saobraćaj koji prolazi kroz ruter, čekajući veze na privatne IP adrese ili određene portove (kao što je port 80 za HTTP saobraćaj ili port 53 za DNS upite) da budu prisutni.
Kada se ovi uslovi ispune, zlonamjerni softver šalje zahtev preko rutera da otme vezu i presreće podatke koji se prenose. Takođe traži akreditive za autentifikaciju u saobraćaju i krade ih za dalju upotrebu od strane napadača. Slanjem zahteva preko kompromitovanog rutera, zlonamjerni akteri mogu potencijalno da izbjegnu anomalnu analitiku zasnovanu na prijavi koristeći ukradene akreditive za autentifikaciju.
VPN funkcionalnost
Cuttlefish VPN funkcionalnost koristi projekat otvorenog kôda pod nazivom n2n za svoje VPN mogućnosti. Kompromitovani host pokreće određene komande da omogući IP prosljeđivanje i postavi NAT pravila za maskiranje saobraćaja. Zatim preuzima konfiguraciona pravila sa servera za komandu i kontrolu (C2) i čuva ih kao /tmp/n2nconfigjs. Korištenjem ove VPN funkcionalnosti, zlonamjerni akter može potencijalno da izbjegne otkrivanje slanjem zahteva preko rutera sa ukradenim akreditivima za autentifikaciju.
Da bi eksfiltrirao podatke, zlonamjerni akter prvo kreira ili proxy ili VPN tunel nazad kroz kompromitovani ruter, a zatim koristi ukradene akreditive za pristup ciljanim resursima. Slanjem zahteva preko rutera, sumnjamo da akter može da izbjegne anomalnu analitiku zasnovanu na prijavi koristeći ukradene akreditive za autentifikaciju.
– Black Lotus Labs –
Proxy funkcionalnost
Proxy funkcionalnost se koristi kao alternativa VPN tunelu za usmjeravanje saobraćaja nazad kroz zaraženi uređaj. Omogućava zlonamjernim akterima da iskoriste ukradene akreditive sa IP adrese povezane sa poznatim korisnikom. Čini se da je ova funkcija zasnovana na projektu otvorenog kôda koji se zove “socks proxy”. Proxy se vezuje za sve eksterne interfejse na slučajnom portu i koristi čvrsto kodirano korisničko ime i lozinku za proxy autentifikaciju socks5. Za razliku od drugih proxy zlonamjernih softvera, ovaj proxy pristup koriste samo Cuttlefish zlonamjerni akteri.
ZAKLJUČAK
Cuttlefish je složen i napredan dio zlonamjernog softvera koji primarno cilja SOHO rutere, dizajniran za prikupljanje informacija o mrežnom okruženju, krađu akreditiva i dobijanje trajnog pristupa resursima u oblaku povezanim sa ciljanim entitetom. Njegova upotreba šifrovanja za komunikaciju sa C2 serverom, tehnike izbjegavanja kao što je sakrivanje u memoriji i mogućnost preuzimanja skupova pravila otežavaju otkrivanje i ublažavanje. Cuttlefish je prva instanca zlonamjernog softvera posebno dizajniranog da traži privatne IP veze za otmicu, što ga čini značajnom prijetnjom za savremena preduzeća, jer može zaobići njihove TLS konfiguracije i dobiti neovlašteni pristup osjetljivim informacijama na internim mrežama.
ZAŠTITA
Da bi se smanjio rizik od infekcije Cuttlefish zlonamjernim softverom, od suštinskog je značaja da se slijede najbolje prakse za bezbjednost mreže i upravljanje uređajima. Evo nekoliko preporučenih radnji:
- Uvjeriti se da su svi uređaji, uključujući SOHO rutere, zamijenjeni kada stignu do kraja životnog vijeka proizvođača (eng. end-of-life – EOL) i da više nisu podržani bezbjednosnim ažuriranjima. Ovo će pomoći da se samnji rizik od infekcije poznatim ranjivostima,
- Osigurati redovno ažuriranje upravljačkog softvera na uređajima na najnoviju verziju. Ažuriranja često uključuju bezbjednosne ispravke koje mogu pomoći u zaštiti od poznatih ranjivosti. Proizvođači rutera često objavljuju ispravke za rješavanje bezbjednosnih problema,
- Nadgledati napade na slabe akreditive i sumnjive pokušaje prijavljivanja, čak i ako potiču sa stambenih IP adresa koje zaobilaze geofending i ASN zasnovano blokiranje. Uvjeriti se da svi korisnički nalozi imaju jake lozinke i da se redovno ažuriraju,
- Šifrovati mrežni saobraćaj kao bi se spriječilo njuškanje prilikom preuzimanja ili slanja podataka koji se nalaze na udaljenim lokacijama, kao što su usluge zasnovane na oblaku ili procesi autentifikacije. Mrežni saobraćaj šifrovati pomoću TLS/SSL protokola. Ovo će pomoći u zaštiti od napada čovjeka u sredini (eng. Man-in-the-Middle Attack – MitM) koji mogu dovesti do širenja zlonamjernog softvera poput Cuttlefish,
- Redovno provjeravati SOHO uređaje na prisustvo abnormalnih datoteka kao što su binarne datoteke koje se nalaze u direktorijumu /tmp ili lažni iptables unosi,
- Uvjeriti se da upravljački interfejsi SOHO rutera nisu dostupni preko interneta i da koristite jake lozinke za pristup. Uz to, redovno primjenjivati najbolje preporučene prakse za obezbjeđenje mrežne opreme,
- Rutinsko ponovno pokretanje SOHO uređaji može da pomognu u uklanjanju uzoraka zlonamjernog softvera iz memorije i sprečavanju da se preuzmu trajne prijetnje poput Cuttlefish zlonamjernog softvera,
- Biti informisan o najnovijim prijetnjama i najboljim praksama za bezbjednost mreže prateći renomirane izvore informacija. Uspostaviti saradnju sa zajednicom za istraživanje bezbednosti kako bi se dijelili nalazi u vezi sa novom infrastrukturom, aktivnostima ciljanja i proširenjem taktike, tehnike i procedure (TTP) prijetnji poput Cuttlefish zlonamjernog softvera.