导语:今年早些时候,Mandiant调查了多起与Pulse Secure(保思安)相关的网络攻击事件,黑客利用Pulse Secure VPN设备中存在的已知和未知漏洞,对世界各地国防、政府和金融机构的展开入侵行为
介绍
今年早些时候,Mandiant调查了多起与Pulse Secure(保思安)相关的网络攻击事件,黑客利用Pulse Secure VPN设备中存在的已知和未知漏洞,对世界各地国防、政府和金融机构的展开入侵行为。侵入Pulse Secure VPN设备的恶意软件家族有12个之多,一部分利用了Pulse Secure在2019年和2020年披露的漏洞,另一部分则利用了2021年4月刚发现的漏洞CVE-2021-22893,可能涉及多个攻击组织。
这其中就包括对美国国防工业基地(DIB)展开攻击的黑客组织UNC2630,他们从Pulse Secure VPN中收集用户登录凭据,利用合法帐户凭据进行横向移动。为了保持对受感染网络的持久性,还使用了经过修改的、合法的Pulse Secure二进制文件和脚本,并利用其完成以下任务:
· 使用恶意代码对共享库进行木马化,以记录凭据并绕过身份验证流程,包括多因素身份验证要求。我们将这些木马程序集跟踪为SLOWPULSE及其变体。
· 将RADIALPULSE和PULSECHECK webshell注入到可通过Internet访问的合法Pulse Secure VPN设备管理网页中。
· 在只读和读写模式之间切换文件系统,以允许对典型的只读文件系统进行文件修改。
· 维护由管理员执行的跨VPN设备的常规升级的持久性。
· 在绕过检测后,删除已修改的文件、实用程序和脚本。
· 使用THINBLOOD实用程序清除相关日志文件。
在2021年3月的攻击事件中,另一个位于欧洲的攻击组织UNC2717使用了恶意软件RADIALPULSE,PULSEJUMP和HARDPULSE,而UNC2630在对美国DIB的攻击中则没有用到PULSEJUMP或HARDPULSE,虽然UNC2717所使用的恶意软件家族与UNC2630使用的其他恶意软件之间具有相同的特征和类似的目的,但还是缺乏关键证据将UNC2630或UNC2717相关联,有可能他们背后有其他团伙在负责开发和传播,与其对接的也可能不止这两个攻击组织。
目前Pulse Secure的母公司Ivanti已发布了针对这些恶意软件家族所利用漏洞的缓解措施,以及Pulse Connect安全完整性工具,以帮助确定系统是否受到了影响。
SLOWPULSE
在对UNC2630的活动进行调查期间,我们发现了一个被标记为SLOWPULSE的新型恶意软件家族。该恶意软件被用作对合法Pulse Secure文件的修改,以绕过或记录合法Pulse Secure共享对象libdsplibs.so中的身份验证凭据。当前的四个版本中有三个可以绕过双因素身份验证。
SLOWPULSE变种1
此变种负责绕过LDAP和RADIUS-2FA身份验证流程。检查每个协议的关联例程开始时使用的登录凭据,如果攻击者提供的密码与后门密码匹配,则强制执行身份验证补丁。
LDAP身份验证绕过:由例程DSAuth::LDAPAuthServer::authenticate开始LDAP认证过程。此变种在例程后插入了对后门密码的检查,可以有条件地将返回值截住来绕过身份验证。
图1:LDAP身份验证绕过
RADIUS双因素验证绕过:由例程DSAuth::RadiusAuthServer:: checkusernampassword开始RADIUS-2FA身份验证过程。在从身份验证服务器收到RADIUS数据包后插入针对后门密码的检查,如果攻击者提供了后门密码,则数据包类型和认证成功状态标志将被覆盖。
图2:Radius-2FA身份验证绕过
SLOWPULSE变种2
ACE双因素认证凭据记录:此变种记录在ACE-2FA身份验证过程DSAuth :: AceAuthServer :: checkUsernamePassword中使用的凭据。该变种不是绕过身份验证,而是将用户名和密码记录到文件中,以供攻击者以后使用。
图3:ACE Auth凭证日志
SLOWPULSE变种3
ACE双因素授权绕过:此变种负责绕过以DSAuth :: AceAuthServer :: checkUsernamePassword开头的ACE-2FA登录过程。如果攻击者提供了后门密码,则修改认证过程的流程,以绕过负责验证用户名和密码的例行程序。
图4:ACE身份验证绕过
SLOWPULSE变种4
RealmSignin双因素认证绕过:这个变种能绕过Pulse Secure VPN的RealmSignin::runSecondaryAuth过程。通过修改登录过程中特定步骤的执行来欺骗身份验证。
图5:RealmSignIn 2FA认证绕过
归因
Mandiant正处于收集证据和属性评估的早期阶段,有归类出以下线索:
2020年8月至2021年3月,UNC2630入侵了美国DIB公司,使用的恶意软件家族包括:SLOWPULSE,RADIALPULSE,THINBLOOD,ATRIUM,PACEMAKER,SLIGHTPULSE和PULSECHECK。
2020年10月至2021年3月,UNC2717以全球政府机构为目标渗透,使用的恶意软件家族包括:HARDPULSE,QUIETPULSE和PULSEJUMP。
UNC2630所用到的基础设施、工具和网络行为似乎都是独一无二的,没有在任何其他活动中检测到的迹象。Mandiant暂时无法将其归因于任何现有的APT组织,但如果以攻击目标来看,研究人员推测其可能与APT5有关。APT5主要针对欧美等国的国防和技术公司。
至于UNC2717,所得信息更少,无法对其归因。
更多技术细节请参见:https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
本文翻译自:https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html如若转载,请注明原文地址