Diskaun Berbilang Lesen
Threat Database Malware Malware Shell Kuda

Malware Shell Kuda

Menjelang Mezo pada Malware, Backdoors
Terjemahkan ke
بهاس ملايو

Kumpulan penggodaman dikenali sebagai "Camaro Dragon," dipercayai ditaja oleh negara China, telah didapati menjangkiti penghala TP-Link kediaman dengan perisian hasad tersuai yang dipanggil Horse Shell. Kempen serangan ini disasarkan khusus kepada organisasi hal ehwal luar Eropah.

Penggodam menggunakan perisian hasad pintu belakang ini melalui perisian tegar tersuai dan mengancam yang disesuaikan untuk penghala TP-Link. Dengan berbuat demikian, mereka boleh melakukan serangan yang kelihatan berasal dari rangkaian kediaman.

Serangan jenis ini menyasarkan rangkaian kediaman dan rumah biasa. Oleh itu, jangkitan penghala rumah tidak semestinya menunjukkan bahawa pemilik rumah itu sendiri adalah sasaran tertentu; sebaliknya, peranti mereka berfungsi untuk memudahkan cara penyerang mencapai matlamat mereka.

Setelah perisian hasad digunakan, pelaku ancaman mendapat akses lengkap kepada peranti yang dijangkiti. Ini termasuk keupayaan untuk melaksanakan perintah shell, memuat naik dan memuat turun fail, dan menggunakan penghala sebagai proksi SOCKS untuk memudahkan komunikasi antara peranti.

Penyelidikan menemui implan perisian tegar Horse Shell TP-Link pada Januari 2023. Mereka telah memerhatikan bahawa aktiviti penggodam bertindih dengan kumpulan penggodam China lain yang dikenali sebagai Mustang Panda, tetapi mereka menjejaki pelakon ancaman di bawah nama Camaro Dragon yang berasingan.

Cangkang Kuda Digunakan melalui Perisian Tegar TP-Link yang Tidak Selamat

Menurut penemuan penyelidik keselamatan siber, penyerang menjangkiti penghala TP-Link dengan memperkenalkan imej perisian tegar yang mengancam. Ini mungkin telah dicapai dengan mengeksploitasi kelemahan dalam perisian penghala atau dengan cuba meneka kelayakan pentadbir melalui kaedah kekerasan.

Sebaik sahaja aktor ancaman mendapat akses pentadbiran kepada antara muka pengurusan penghala, mereka mempunyai keupayaan untuk mengemas kini peranti dari jauh dengan imej perisian tegar tersuai yang mengandungi perisian hasad Horse Shell.

Dua sampel imej perisian tegar trojan yang direka khusus untuk penghala TP-Link telah ditemui setakat ini. Versi perisian tegar berbahaya ini mengandungi pengubahsuaian dan penambahan yang meluas pada fail asal.

Dalam membandingkan perisian tegar TP-Link yang diusik dengan versi yang sah, pakar mendapati bahawa bahagian kernel dan uBoot adalah sama. Walau bagaimanapun, perisian tegar yang tidak selamat menggabungkan sistem fail SquashFS tersuai yang mengandungi komponen fail rosak tambahan yang dikaitkan dengan implan pintu belakang Horse Shell. Tambahan pula, perisian tegar yang tidak selamat juga mengubah panel Web pengurusan, dengan berkesan menghalang pemilik peranti daripada memancarkan imej perisian tegar baharu ke penghala serta memastikan jangkitan berterusan.

Keupayaan Memudaratkan Implan Tempurung Kuda

Sebaik sahaja implan pintu belakang Cangkang Kuda diaktifkan, ia menggunakan beberapa teknik untuk memastikan kegigihan dan operasi terselindung. Pertama, ia mengarahkan sistem pengendalian untuk tidak menamatkan prosesnya apabila arahan tertentu, seperti SIGPIPE, SIGIN atau SIGABRT, dikeluarkan. Selain itu, ia menukar dirinya menjadi daemon, membolehkan ia berjalan secara senyap di latar belakang.

Seterusnya, pintu belakang mewujudkan sambungan dengan pelayan Perintah-dan-Kawalan (C2) operasi. Ia menghantar profil mesin mangsa, yang termasuk maklumat seperti nama pengguna, versi sistem pengendalian, butiran peranti, alamat IP, alamat MAC dan ciri yang disokong implan.

Setelah menyelesaikan fasa persediaan, Horse Shell dengan sabar menunggu arahan daripada pelayan C2. Ia mendengar tiga arahan khusus:

  • Mulakan cangkerang jauh: Perintah ini memberikan pelakon ancaman akses lengkap kepada peranti yang terjejas, membolehkan mereka melaksanakan arahan dan menjalankan aktiviti yang tidak selamat.
  • Lakukan aktiviti pemindahan fail: Pintu belakang memudahkan muat naik dan memuat turun fail, manipulasi fail asas dan penghitungan direktori, membenarkan pelaku ancaman memanipulasi data pada peranti yang terjejas.
  • Mulakan terowong: Horse Shell boleh memulakan terowong untuk mengelirukan destinasi dan asal trafik rangkaian. Dengan menyembunyikan alamat pelayan C2, teknik ini membantu mengekalkan kesembunyian operasi penyerang.

Penyelidik ambil perhatian bahawa implan perisian tegar Horse Shell tidak terhad kepada jenis perisian tegar yang berbeza tetapi bersifat agnostik perisian tegar. Oleh itu, secara teori, ia berpotensi digunakan dalam imej perisian tegar untuk penghala daripada pelbagai vendor.

Penyasaran penghala yang kurang terjamin oleh penggodam tajaan kerajaan tidaklah mengejutkan. Penghala sering disasarkan oleh botnet untuk aktiviti seperti serangan Denial-of-Service (DDoS) yang diedarkan atau operasi perlombongan kripto. Serangan ini mengambil kesempatan daripada langkah keselamatan penghala yang sering diabaikan, membenarkan peranti yang terjejas berfungsi sebagai pad pelancar yang tidak mencolok untuk aktiviti berbahaya sambil mengaburkan asal penyerang.

Trending

Paling banyak dilihat

Memuatkan...