Indice   FAQ  
Iscriviti  Login
Indice Networking & Software di geolocalizzazione DynamicDNS

Malware Slingshot e Winbox < 3.12[VULNERABILITA' IMPORTANTE]

Ecco come sfruttare un IP dinamico

Malware Slingshot e Winbox < 3.12[VULNERABILITA' IMPORTANTE]

Messaggioda TSI-Troccoli » gio 15 mar 2018, 10:40

Sembra che in Kaspersky abbiano trovato una vulnerabilità riguardante le versioni di Winbox precedenti alla 3.12 che consentivano ai creatori del malware di accedere a un sacco di funzionalità di Windows.
Riporto il testo del Cert Nazionale https://www.certnazionale.it/news/2018/ ... e-spyware/

Lo scorso febbraio i ricercatori di Kaspersky Lab hanno individuato una campagna di cyber-spionaggio riconducibile ad una minaccia di tipo APT denominata Slingshot, nome derivato da una stringa di testo rinvenuta nel codice del malware utilizzato per infettare i sistemi oggetto degli attacchi.

Dall’analisi degli esemplari di malware catturati, gli esperti di Kaspersky ritengono che la campagna di infezione sia stata avviata già a partire dal 2012 e che sia tuttora in corso.

Il vettore di attacco principale è rappresentato da router vulnerabili prodotti dalla società lettone MikroTik. Gli autori del malware sono riusciti a trovare il modo di compromettere questi router inserendovi una libreria DLL malevola, chiamata ipv4.dll.

Quando la vittima si connette al router dal proprio PC mediante l’utility di configurazione Winbox, la DLL malevola viene scaricata assieme ad altre librerie legittime sul filesystem della macchina, caricata in memoria ed eseguita. Questa DLL è il componente principale di Slingshot ed agisce come downloader di ulteriori componenti malevoli, che si trovano a loro volta memorizzati nel router compromesso.

Per poter agire indisturbato, Slingshot tenta di ottenere privilegi elevati sostituendo una libreria legittima di Windows (nei casi esaminati scesrv.dll) che viene caricata dal processo services.exe con i privilegi dell’utente SYSTEM.

Un’altra caratteristica peculiare di Slingshot è la tecnica utilizzata per eseguire parte del codice malevolo in modalità kernel, operazione che di norma nei sistemi operativi aggiornati è quasi impossibile. Slingshot tenta di aggirare le protezioni del sistema individuando ed infettando specifici driver di terze parti affetti da vulnerabilità note. In particolare, Slingshot sfrutta i seguenti driver:

Goad.sys (driver per sistemi x86)
SpeedFan.sys (CVE-2007-5633)
Sandra.sys (CVE-2010-1592)
ElbyCDIO.sys (CVE-2009-0824)

Sfruttano una di queste vulnerabilità, Slingshot è in grado di eseguire in modalità kernel il payload principale del malware, un modulo chiamato Cahnadr (o NDriver). Questo modulo ha la funzione di “regista” ed è in grado di coordinare e fornire le necessarie funzionalità agli altri componenti malevoli scaricati da Slingshot sul PC della vittima ed eseguiti in modalità utente. Il più importante di questi componenti è il modulo con funzione di spyware chiamato GollumApp, dal nome di un personaggio della saga del Signore degli Anelli.

Cahnadr/NDriver è in grado di eseguire codice malevolo in modalità kernel senza danneggiare l’intero file system o causare il crash del sistema (il famigerato Blue Screen), fornendo pieno accesso al disco rigido e alla memoria aggirando le restrizioni di sicurezza del sistema. Cahnadr svolge le seguenti funzionalità malevole principali:

azioni di evasione anti-debug e verifica dello stato delle patch del kernel;
chiamate dirette dei servizi di sistema per coprire l’attività malevola;
intercettazione delle chiamate di sistema dei thread in esecuzione (agganciandosi a KTHREAD::ServiceTable);
funzione di rootkit per nascondere il traffico malevolo;
iniezione di payload in modalità utente in services.exe;
supporto di API malevole ai moduli in modalità utente;
funzione di comunicazione via rete;
notifica degli eventi relativi ai processi in esecuzione al modulo GollumApp, fornendo interfacce per manipolarne la memoria;
monitoraggio di tutti i dispositivi di rete;
funzionalità di sniffer sui seguenti protocolli: ARP, TCP, UDP, DNS, ICMP, HTTP.
GollumApp, il modulo più avanzato di Slingshot, implementa quasi 1500 funzioni d’utente per il controllo del file system, le comunicazioni con i server C&C, la persistenza e lo spionaggio. GollumApp è in grado di compiere le seguenti azioni malevole:

raccolta di informazioni relative alla rete: tabelle di routing, configurazione, informazioni sui server proxy e impostazioni di AutoConfigUrl;
intercettazione di notifiche sulle modifiche alla tabella di routing e all’indirizzo IP dell’interfacce di rete;
gestione delle richieste di I/O al proprio file system virtuale cifrato;
gestione di comandi per la comunicazione con il CNC;
cattura di tutte le password salvate nei browser Mozilla Firefox e Internet Explorer;
intercettazione della clipboard;
registrazione di tutti i tasti premuti (funzione di keylogger);
raccolta di informazioni sulle partizioni dei dischi;
raccolta di informazioni sui dispositivi USB ed invio di notifiche quando viene connesso un nuovo dispositivo;
lancio di processi con i privilegi di SYSTEM come figli di smss.exe;
iniezione di moduli malevoli in specifici processi.
Stando a quanto riportato da Kaspersly, le infezioni di SlingShot sono prevalentemente localizzate in Africa e Medio Oriente (Kenya, Yemen, Afghanistan, Libia, Congo, Giordania, Turchia, Iraq, Sudan, Somalia e Tanzania). La maggior parte delle vittime, in tutto un centinaio quelle finora scoperte, sembrano essere singoli individui piuttosto che organizzazioni, ma tra i bersagli di questa APT ci sono anche alcune organizzazioni e istituzioni governative.

Per proteggersi da questa minaccia, si raccomanda agli utenti di router MikroTik di aggiornare il firmware del dispositivo (RouterOS) e l’applicazione Winbox alle versioni più recenti disponibili. Il produttore ha dichiarato che la versione più recente di Winbox (3.12) non scarica più il file ipv4.dll dal router, bloccando di fatto l’azione del malware.

Si tenga presente che lo sfruttamento dei router MikroTik potrebbe non essere l’unico vettore di attacco di SlingShot. Altri dispositivi di altri produttori potrebbero essere potenzialmente coinvolti. Inoltre, l’APT potrebbe teoricamente sfruttare altri exploit noti per penetrare nei sistemi Windows.
Avatar utente
TSI-Troccoli
MikroTIK Guru
MikroTIK Guru
 
Messaggi: 160
Iscritto il: dom 20 mar 2016, 20:42
Uso routerOS dalla Versione: v5.x

Re: Malware Slingshot e Winbox < 3.12

Messaggioda figheras » ven 16 mar 2018, 17:48

Grazie dell'informazione, lo metto come annuncio globale visibile in tutti i post in modo che possa essere visto da tutti.
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1184
Iscritto il: sab 19 set 2009, 19:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Preferred Training Centre: Grifonline
Altre certificazioni: KalliopePBX



Torna a DynamicDNS

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite