Ballista Botnet cilja preko 6.000 TP-Link uređaja

AUTOR ·

Nova botnet kampanja poznata kao Ballista, koja cilja na ne ažurirane ranjivosti u TP-Link Archer ruterima. Prema nedavnoj analizi sigurnosnih istraživača Cato CTRL Threat Research, zlonamjerni softver se automatski širi internetom iskorištavanjem ranjivosti CVE-2023-1389, omogućavajući zlonamjernim akterima da dobiju daljinsku kontrolu nad kompromitovanim uređajima i pokrenu razorne napade uskraćivanjem resursa (eng. distributed denial of service – DDoS).

Ballista botnet

Ballista Botnet cilja preko 6.000 TP-Link uređaja; Source: Bing Image Creator

BALLISTA BOTNET

Prema nalazima sigurnosnih istraživača, Ballista je botnet zasnovan na modularnoj arhitekturi koji radi sa izuzetnom prikrivenošću i postojanošću. Primarni cilj zlonamjernog softvera je da uspostavi šifrovani kanal za komandu i kontrolu (C2), omogućavajući udaljenim zlonamjernim akterima da izdaju komande, sprovode dalje napade daljinskog izvršavanja kôda (eng. remote code execution – RCE) i pokreću kampanje za uskraćivanje usluge (eng. denial-of-service – DoS).

Jedna od najupečatljivijih karakteristika Ballista botnet zlonamjernog softvera je njegova sposobnost da se prilagodi i evoluira kao odgovor na promjenljive pejzaže prijetnji. Tokom istraživanja sigurnosni istraživači su uočili prelazak na korišćenje Tor domena za C2 komunikaciju, što ukazuje na napor da se poveća prikrivenost i postojanost. Ovaj nivo sofisticiranosti sugeriše visoko organizovanog i snalažljivog protivnika koji se neće zaustaviti ni pred čim da postigne svoje ciljeve.

Pretraga sigurnosnih istraživača je otkrila da Ballista botnet cilja na više od 6.000 uređaja. Ranjivi uređaji su koncentrisani u Brazilu, Poljskoj, Ujedinjenom Kraljevstvu, Bugarskoj i Turskoj. Takođe je utvrđeno je da botnet cilja proizvodne, medicinske/zdravstvene, usluge i tehnološke organizacije u Sjedinjenim Američkim Državama, Australiji, Kini i Meksiku.

Koliko je situacija ozbiljna, govori o tome i pojava izvještaja koji sugerišu da vladine agencije Sjedinjenih Američkih Država razmatraju zabranu TP-Link uređaja zbog bezbjednosnih rizika povezanih sa Kinom.

 

Početni pristup

Početni vektor pristupa koji koristi Ballista botnet je odličan primjer kako zlonamjerni akteri mogu da iskoriste ranjivosti na mrežnim uređajima da bi dobili neovlašteni pristup kompromitovanim sistemima. U ovom slučaju, ranjivost koja se iskorištava je CVE-2023-1389, koja utiče na veb okruženje upravljanja rutera TP-Link Archer. Ova konkretna ranjivost proizilazi iz nedostatka filtriranja korisničkog unosa u polju za unos države, što omogućava zlonamjernim akterima da ubace zlonamjerni kôd i izvrše komande sa administratorskim privilegijama.

Korisno opterećenje koje je ubrizgava Ballista botnet je jasan tekstualna skripta za komandno okruženje. Nakon izvršenja na kompromitovanom uređaju, ova skripta preuzima i izvršava binarne datoteke zlonamjernog softvera sa servera koji kontroliše zlonamjerni akter. Proces počinje sasvim nevino, pošto se program za instalaciju (eng. dropper) sam uklanja sa diska da bi se izbjegla detekcija. Međutim, njegove prave namjere postaju očigledne kada pokuša da pređe u druge direktorijume na lokalnom sistemu u potrazi za dodatnim ciljevima. Ovo ponašanje je karakteristično za “bučni” program za instalaciju, koji daje prioritet količini nad kvalitetom pokušavajući da preuzme i izvrši sve dostupne binarne datoteke umjesto da provjerava kompatibilnost sa kompromitovanom arhitekturom.

Implikacije ovog pristupa su značajne, jer sugerišu da je Ballista botnet možda više zainteresovan za brzo širenje svog dometa nego za održavanje prikrivenosti. Ovo je očigledno iz činjenice da program za instalaciju ispušta pet unaprijed kompajliranih binarnih datoteka na ciljni sistem, koji odgovaraju različitim arhitekturama (mips, mipsel, armv5l, armv7l i x86_64). Iako ovo može izgledati kao pametna taktika za povećavanje uticaja, to takođe povećava vjerovatnoću otkrivanja od strane bezbjednosnog softvera. Štaviše, kao što je navedeno u drugim istraživanjima o internet stvari (eng. internet of things – IoT) zlonamjernom softveru, takav pristup može dovesti do nepotrebne buke i kolateralne štete.

 

Mogućnosti

Podrazumijevani tok izvršavanja Ballista botnet zlonamjernog softvera pokazuje nekoliko ključnih mogućnosti koje mu omogućavaju da zadrži kontrolu nad inficiranim uređajima i izbjegne otkrivanje. Prva mogućnost je sposobnost zlonamjernog softvera da ugasi prethodne instance sebe i ukloni sopstvenu izvršnu datoteku sa diska nakon izvršenja. Ovaj mehanizam samouništenja služi kao način da se izbjegne otkrivanje od strane bezbjednosnog softvera ili sigurnosnih analitičara koji možda prate aktivnost sistema u potrazi za sumnjivim ponašanjem.

Ova početna sposobnost postavlja scenu za dalju eksploataciju, omogućavajući zlonamjernom softveru da uspostavi uporište na kompromitovanom uređaju bez da ga ometaju prethodno pokrenute instance samog sebe. Sljedeća mogućnost je sposobnost Ballista botnet zlonamjernog softvera da čita brojne konfiguracione datoteke na sistemu. Ovo mu omogućava da prikupi dragocjene informacije o ciljnom okruženju, uključujući mrežna podešavanja, korisničke naloge i druge relevantne detalje koji se mogu koristiti za buduću eksploataciju ili kao dio veće strategije napada.

Treća ključna mogućnost je uspostavljanje šifrovanog C2 kanala preko kojeg Ballista botnet zlonamjerni softver može da pozove dodatnu funkcionalnost. Ova bezbjedna komunikaciona veza omogućava zlonamjernim akterima da daljinski kontrolišu inficirane uređaje, primaju ažuriranja o statusu sistema i izdaju komande koje pokreću određene radnje u kompromitovanom okruženju.

Mogućnost automatskog širenja na druge uređaje na internetu je takođe kritična sposobnost ovog Ballista botnet zlonamjernog softvera. Ovaj mehanizam širenja koristi eksploataciju za ranjivost CVE-2023-1389, koja mu omogućava da se brzo širi bez potrebe za ljudskom intervencijom ili ručnom konfiguracijom od strane zlonamjernih aktera. Kao takve, inficirane mreže mogu brzo biti preplavljene kompromitovanim uređajima koji su pod daljinskom kontrolom i spremni da izvrše dalje zlonamjerne radnje po komandi sa C2 servera. Sposobnost zlonamjernog softvera da se automatski širi čini napore za obuzdavanjem mnogo izazovnijim za mrežne administratore.

Po prijemu određenih komandi od C2 servera, Ballista botnet zlonamjerni softver takođe može da koristi dodatne mogućnosti koje dodatno povećavaju njegov potencijal za eksploataciju na kompromitovanim uređajima. Jedna takva mogućnost je mogućnost pokretanja komandnog okruženja direktno unutar zaraženog okruženja. Ovo omogućava zlonamjernim akterima da izvrše proizvoljne radnje na nivou sistema ili prikupe osjetljive informacije o ciljnom uređaju bez potrebe za direktnim pristupom preko grafičkog okruženja.

Modul “komandnog okruženja”, kako se pominje u ovom kontekstu, pruža skriveni pristup (eng. backdoor) za eksfiltraciju podataka i postojanost na kompromitovanim uređajima. Omogućava daljinsko izvršavanje komandi koje se mogu koristiti za dalje iskorišćavanje ranjivosti unutar sistemskog softvera ili prikupljanje osjetljivih informacija o ciljnom okruženju bez da budu otkrivene tradicionalnim bezbjednosnim mjerama. Ova mogućnost je posebno zabrinjavajuća, jer omogućava zlonamjernim akterima da održe stalno prisustvo na inficiranim sistemima, čak i ako u bilo kom trenutku nisu aktivno uključeni u zlonamjerne aktivnosti.

Još jedna kritična dodatna mogućnost Ballista botnet zlonamjernog softvera uključuje njegovu sposobnost pokretanja napada uskraćivanja usluge ili distribuiranog napada uskraćivanja usluge (DoS/DDoS) na komandu sa C2 servera. Modul “flooder” u okviru zlonamjernog softvera je posebno dizajniran za pokretanje takvih napada i može kontinuirano da stvara nove procese za izvršenje napada, što otežava blokiranje ili ublažavanje bez značajnih mrežnih resursa koji su posvećeni odbrani. Mogućnost obrade velikih količina saobraćaja uz održavanje šifrovanja osigurava da čak i ako se otkriju neki aspekti ovih napada, oni i dalje mogu izazvati značajne poremećaje i finansijski gubitak za ciljane organizacije, a da ih timovi za bezbjednost u potpunosti ne razumiju.

 

Server za komandu i kontrolu (C2)

Po završetku svojih početnih koraka, Ballista botnet zlonamjerni softver nastavlja da prikazuje arhitekturu operativnog sistema koju je identifikovao i započinje postavljanje komandnog i kontrolnog (C2) kanala. Ovaj proces podešavanja je ključan za nastavak rada zlonamjernog softvera, jer omogućava komunikaciju između inficiranog uređaja i servera koji kontroliše zlonamjerni akter.

Detaljna analiza mrežnog saobraćaja otkriva da ovaj C2 kanal vodi direktno nazad na istu IP adresu sa koje je zlonamjerni softver prvobitno preuzet. Ovo ukazuje na visok stepen kontrole koju zlonamjerni akteri vrše nad svojim zlonamjernim softverom, omogućavajući im da sa lakoćom daljinski preuzmu kompromitovane uređaje. Štaviše, ispitivanje asemblerskog kôda koji se koristi za postavljanje ove C2 veze otkriva upotrebu funkcije dizajnirane za kreiranje novih procesa unutar toka izvršavanja aplikacije.

Kreiranje ovih dodatnih procesa služi kao sredstvo pomoću kojeg se više zadataka može izvršavati istovremeno, poboljšavajući ukupne performanse i efikasnost sistema. Međutim, kada se primjeni na zlonamjerni softver kao što je Ballista botnet, takve mogućnosti poprimaju zlokobnije konotacije. Konkretno, upotreba funkcije dizajnirane za kreiranje novih procesa unutar toka izvršavanja aplikacije u ovom slučaju omogućava istovremenu komunikaciju sa različitim C2 serverima ili izvršavanje različitih modula unutar jedne instance zlonamjernog softvera.

Nakon detaljnijeg pregleda asemblerskog kôda koji je odgovoran za postavljanje C2 kanala, postaje očigledno da se bezbjednost transportnog sloja (eng. transport layer security – TLS) koristi da bi se obezbijedila ova linija komunikacije. Bezbjednost transportnog sloja (TLS) predstavlja industrijski standardni protokol dizajniran posebno za šifrovanje podataka koji se razmjenjuju između klijenta i servera preko nesigurnih kanala poput interneta.

Upotreba funkcije dizajnirane za kreiranje novih procesa unutar toka izvršavanja aplikacije u kombinaciji sa bezbjednošću transportnog sloja (TLS) služi kao dokaz sofisticiranog dizajna zlonamjernog softvera, omogućavajući mu da uspostavi više veza istovremeno uz održavanje povjerljivosti putem šifrovanja. Štaviše, analiza otkriva da se podrazumijevano šalju samo dva paketa: jedan koji sadrži indikator kompromitovanja (eng. indicator of compromise – IoC) jedinstven za ovu vrstu zlonamjernog softvera i drugi koji uključuje informacije o arhitekturi klijenta.

Funkcija odgovorna za raščlanjivanje dolaznih komandi sa C2 kanala je identifikovana kao kritična komponenta u razumijevanju načina na koji Ballista botnet funkcioniše. Nakon pregleda, pronađeno je nekoliko ključnih riječi koje su ugrađene u njegovu bazu kôda: flooder, exploiter, start, close, shell i killall. Svaki od ovih termina odgovara određenim modulima ili funkcijama koje zlonamjerni akteri mogu pokrenuti daljinski.

Treba napomenuti, da je dalja analiza pokazala da originalna IP adresa više nije funkcionalna što sugeriše da su zlonamjerni akteri koji stoje iza Ballista botnet aktivno razvijaju i usavršavaju svoj zlonamjerni softver kako bi bili ispred bezbjednosnih mjera. Ovaj nivo sofisticiranosti ukazuje na značajno povećanje sposobnosti kampanje, stvarajući braniocima izazov da otkriju i ublaže napade. Pojava novih varijanti, kao što je ona koja koristi Tor domene umjesto prethodno definisanih IP adresa, dodatno naglašava ovo.

Upotreba Tor domena je posebno vrijedna pažnje, jer omogućava Ballista botnet operaterima da održe anonimnost dok komuniciraju sa svojom mrežom inficiranih uređaja. Ovaj dodatni sloj skrivenosti otežava sigurnosnim istraživačima i bezbjednosnim timovima da prate i analiziraju ponašanje zlonamjernog softvera.

 

Porijeklo

Tokom istraživanja, sigurnosni istraživači su naišli su na ključnu informaciju koja je nagovještavala poreklo ovog zlonamjernog entiteta. Korištenje lokacije IP adrese za komandu i kontrolu (C2) 2.237.57[.]70 je bilo intrigantno otkriće, jer se činilo da ukazuje na određeni geografski region. Ovo otkriće izazvalo je radoznalost među stručnjacima za sajber bezbjednost, koji su počeli da spekulišu o mogućem identitetu iza ove kampanje.

Prisustvo nizova italijanskog jezika u binarnim datotekama zlonamjernog softvera dodatno je učvrstilo sumnju da bi nepoznati zlonamjerni akter mogao biti smješten u Italiji. Uključivanje takvih lingvističkih elemenata u kôdu sugerisalo je nivo poznavanja i udobnosti sa lokalnom kulturom, što bi moglo ukazivati na pojedinca ili grupu iz istog regiona kao IP adresa.

Kombinacija ova dva faktora – lokacije IP adrese i nizova na italijanskom jeziku – stvorila je ubjedljivu priču koja je nagovještavala umješanost nepoznatog italijanskog zlonamjernih aktera u kampanju zlonamjernog softvera Ballista. Iako je bilo nemoguće utvrditi tačan identitet ili motivaciju, sigurnosni istraživači su bili umjereno uvjereni da su naišli na nešto značajno. Ovo otkriće je poslužilo kao podsjetnik da čak i naizgled bezopasni detalji mogu imati ogromnu vrijednost kada se analiziraju u kontekstu istraživanja sajber bezbjednosti.

 

ZAKLJUČAK

Kako istraga o eksploataciji CVE-2023-1389 od strane Ballista botnet zlonamjernog softvera napreduje, postaje jasno da je ova zlonamjerna kampanja ostavila trajan uticaj na globalni pejzaž sajber bezbjednosti. Činjenica da je preko 6.000 uređaja identifikovano kao ranjivo u vreme pisanja teksta služi kao oštar podsjetnik na razmjere i obim ove prijetnje.

Analiza sigurnosnih istraživača otkriva sofisticirani zlonamjerni softver sa mogućnošću automatskog širenja internetom, ciljajući različite sektore, uključujući proizvodnju, medicinu/zdravstvo, usluge i tehnološke organizacije u više zemalja. Botnet sposobnost da izbjegne otkrivanje tokom dužeg perioda naglašava njegovu otpornost i prilagodljivost. Štaviše, činjenica da su američke vladine agencije razmatrale zabranu TP-Link uređaja zbog bezbjednosnih zabrinutosti povezanih sa Kinom naglašava ozbiljnost ove situacije.

Na kraju, istraga je rasvijetlila kritičnu ranjivost u globalnom okruženju sajber bezbjednosti. Kako se napreduje, od suštinskog je značaja da organizacije daju prioritet identifikaciji uređaja i implementiraju prilagođene politike za ranjive uređaje na mreži. Upotreba višeslojnih bezbjednosnih pristupa biće ključna u zaštiti od sličnih prijetnji u budućnosti.

 

ZAŠTITA

Evo preporuka o tome kako zaštititi uređaje i mrežu od Ballista botnet zlonamjernog softvera koji koristi neažuriane ranjivosti:

  1. Prvi korak je ažuriranje upravljačkog softvera (eng. firmware) rutera na najnovijim bezbjednosnim ispravkama, posebno ako se radi o TP-Link uređaju. Provjeriti da li postoje dostupna ažuriranja na zvaničnoj internet stranici i pratiti uputstva proizvođača;
  2. Potrebno je promijeniti podrazumijevane lozinke svih uređaja povezanih na mrežu, uključujući rutere, mrežne razvodnike (eng. switch) i pristupne tačke. Takođe, omogućite WPA3 šifrovanje, jer pruža robusnu sigurnost od napada prisluškivanja. Ovo će spriječiti neovlašteni pristup mreži od strane zlonamjernih aktera koji iskorišćavaju Ballista botnet;
  3. Podesiti mrežu za goste na ruteru za posjetioce ili internet stvari (IoT) uređaje koji ne zahtevaju direktan pristup internetu sa drugih povezanih uređaja. Ova izolovana mreža sprečava potencijalno širenje zlonamjernog softvera i ograničava izlaganje osjetljivih podataka u slučaju da je kompromitovan uređaj bez ispravke;
  4. Koristiti jake lozinke sa mješavinom velikih, malih slova, brojeva i specijalnih znakova za sve naloge na uređajima. Pored toga, omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće da bi se dodao još jedan nivo zaštite od pokušaja neovlaštenog pristupa od strane zlonamjernih aktera;
  5. Redovna skeniranja mreže mogu pomoći da se identifikuju potencijalne ranjivosti ili infekcije zlonamjernim softverom u ranoj fazi njegovog životnog ciklusa prije nego što postane veliki problem;
  6. Uvjeriti se da svi uređaji povezani na mrežu imaju ažuriran operativni sistem najnovijim ispravkama i ažuriranjima. Ovo uključuje pametne telefone, laptopove, desktope, servere i bilo koji drugi uređaj sa operativnim sistemom koji bi zlonamjerni akteri mogli iskoristit za dalje napade nakon eksploatacije u napadima Ballista botnet zlonamjernog softvera;
  7. Instalirati zaštitne zidove na svim uređajima povezanim na mrežu i omogućiti funkcije sisteme za otkrivanje/prevenciju upada (eng. intrusion detection/prevention systems – IDPS) ako su dostupne. Ovo će pomoći u otkrivanju potencijalnih prijetnji od Ballista botnet zlonamjernog softvera, upozoravajući na sumnjivu aktivnost pre nego što to postane problem;
  8. Podijeliti mrežu na manje segmente na osnovu funkcija ili potreba odjeljenja koristeći virtuelne lokalne mreže (eng. virtual local area networks – VLAN). Ovo ograničava bočno kretanje u slučaju da je uređaj kompromitovan od strane zlonamjernih aktera koji koriste Ballista botnet zlonamjerni softver, što olakšava zadržavanje i iskorjenjivanje;
  9. Redovno pratiti mrežni saobraćaj kako bi se identifikovale potencijalne prijetnje od strane Ballista botnet zlonamjernog softvera ili drugih zlonamjernih softvera koji pokušavaju da neovlašteno pristupe uređajima povezanim na mrežu;
  10. Razvijati plan odgovora na sajber prijetnju koji opisuje procedure i protokole u slučaju bezbjednosnih incidenata, uključujući one izazvane zlonamjernim akterima koji iskorištavaju ranjivosti korišćene u napadima Ballista botnet zlonamjernog Ovaj plan treba da uključi korake za zadržavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta kako bi se smanjilo vrijeme zastoja;
  11. Koristite bezbjednu uslugu sistema imena domena (eng. domain name system – DNS) koja može da blokira zlonamjerne domene za koje se zna da su povezani sa zlonamjernim grupama koje koriste Ballista botnet zlonamjerni softver ili druge prijetnje koje ugrožavaju bezbjednost na mreži;
  12. Uvjeriti se da se redovne rezervne kopije vrše na kritičnim podacima uskladištenim na uređajima povezanim sa mrežom, uključujući servere i radne stanice osjetljive na napade zlonamjernih aktera koji iskorištavaju ranjivosti korišćene u kampanji Ballista botnet zlonamjernog softvera;
  13. Implementirajte bezbjedne komunikacione protokole kao što su HTTPS i SFTP kad god je to moguće, posebno kada se prenose osjetljivi podaci preko javnih mreža koje su podložne napadima zlonamjernih aktera korišćenjem eksploatacije Ballista botnet zlonamjernog softvera;
  14. Sprovoditi redovne bezbjednosne revizije svih uređaja povezanih na mrežu, uključujući rutere, mrežne razvodnike, pristupne tačke, servere, radne stanice, pametne telefone i druge internet stvari (IoT) uređaje koji mogu biti meta zlonamjernih aktera koji iskorištavaju ranjivosti korišćene u napadima Ballista botnet zlonamjernog softvera;
  15. Razmislite o implementaciji bezbjednosnih usluga zasnovanih na oblaku koje mogu da obezbijede obavještajne podatke o prijetnjama u realnom vremenu, naprednu analitiku i uvid vještačke inteligencije (eng. artificial intelligence – AI) u potencijalne prijetnje od zlonamjernih aktera koji iskorišćavaju ranjivosti korišćene u napadima Ballista botnet zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.