欢迎到访阿拉善盟网!

首页科技正文

flacoin行情(www.flacoin.vip):APT攻击者通过0 day绕过Pulse Secure VPN装备身份验证

admin2021-05-0339漏洞

USDT自动充值

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

先容

今年早些时刻,Mandiant观察了多起与Pulse Secure(保思安)相关的网络攻击事宜,黑客行使Pulse Secure VPN装备中存在的已知和未知破绽,对天下各地国防、 *** 和金融机构的睁开入侵行为。侵入Pulse Secure VPN装备的恶意软件家族有12个之多,一部门行使了Pulse Secure在2019年和2020年披露的破绽,另一部门则行使了2021年4月刚发现的破绽CVE-2021-22893,可能涉及多个攻击组织。

这其中就包罗对美国国防工业基地(DIB)睁开攻击的黑客组织UNC2630,他们从Pulse Secure VPN中网络用户登录凭证,行使正当帐户凭证举行横向移动。为了保持对受熏染网络的持久性,还使用了经由修改的、正当的Pulse Secure二进制文件和剧本,并行使其完成以下义务:

· 使用恶意代码对共享库举行木马化,以纪录凭证并绕过身份验证流程,包罗多因素身份验证要求。我们将这些木马程序集跟踪为SLOWPULSE及其变体。

· 将RADIALPULSE和PULSECHECK webshell注入到可通过Internet接见的正当Pulse Secure VPN装备治理网页中。

· 在只读和读写模式之间切换文件系统,以允许对典型的只读文件系统举行文件修改。

· 维护由治理员执行的跨VPN装备的通例升级的持久性。

· 在绕过检测后,删除已修改的文件、适用程序和剧本。

· 使用THINBLOOD适用程序祛除相关日志文件。

在2021年3月的攻击事宜中,另一个位于欧洲的攻击组织UNC2717使用了恶意软件RADIALPULSE,PULSEJUMP和HARDPULSE,而UNC2630在对美国DIB的攻击中则没有用到PULSEJUMP或HARDPULSE,虽然UNC2717所使用的恶意软件家族与UNC2630使用的其他恶意软件之间具有相同的特征和类似的目的,但照样缺乏要害证据将UNC2630或UNC2717相关联,有可能他们背后有其他团伙在认真开发和流传,与其对接的也可能不止这两个攻击组织。

现在Pulse Secure的母公司Ivanti已宣布了针对这些恶意软件家族所行使破绽的缓解措施,以及Pulse Connect平安完整性工具,以辅助确定系统是否受到了影响。

SLOWPULSE

在对UNC2630的流动举行观察时代,我们发现了一个被符号为SLOWPULSE的新型恶意软件家族。该恶意软件被用作对正当Pulse Secure文件的修改,以绕过或纪录正当Pulse Secure共享工具libdsplibs.so中的身份验证凭证。当前的四个版本中有三个可以绕过双因素身份验证。

SLOWPULSE变种1

此变种认真绕过LDAP和RADIUS-2FA身份验证流程。检查每个协议的关联例程最先时使用的登录凭证,若是攻击者提供的密码与后门密码匹配,则强制执行身份验证补丁。

LDAP身份验证绕过:由例程DSAuth::LDAPAuthServer::authenticate最先LDAP认证历程。此变种在例程后插入了对后门密码的检查,可以有条件地将返回值截住来绕过身份验证。

图1:LDAP身份验证绕过

RADIUS双因素验证绕过:由例程DSAuth::RadiusAuthServer:: checkusernampassword最先RADIUS-2FA身份验证历程。在从身份验证服务器收到RADIUS数据包后插入针对后门密码的检查,若是攻击者提供了后门密码,则数据包类型和认证乐成状态标志将被笼罩。

,

USDT交易所

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,

图2:Radius-2FA身份验证绕过

SLOWPULSE变种2

ACE双因素认证凭证纪录:此变种纪录在ACE-2FA身份验证历程DSAuth :: AceAuthServer :: checkUsernamePassword中使用的凭证。该变种不是绕过身份验证,而是将用户名和密码纪录到文件中,以供攻击者以后使用。

图3:ACE Auth凭证日志

SLOWPULSE变种3

ACE双因素授权绕过:此变种认真绕过以DSAuth :: AceAuthServer :: checkUsernamePassword开头的ACE-2FA登录历程。若是攻击者提供了后门密码,则修改认证历程的流程,以绕过认真验证用户名和密码的例行程序。

图4:ACE身份验证绕过

SLOWPULSE变种4

RealmSignin双因素认证绕过:这个变种能绕过Pulse Secure VPN的RealmSignin::runSecondaryAuth历程。通过修改登录历程中特定步骤的执行来诱骗身份验证。

图5:RealmSignIn 2FA认证绕过

归因

Mandiant正处于网络证据和属性评估的早期阶段,有归类出以下线索:

2020年8月至2021年3月,UNC2630入侵了美国DIB公司,使用的恶意软件家族包罗:SLOWPULSE,RADIALPULSE,THINBLOOD,ATRIUM,PACEMAKER,SLIGHTPULSE和PULSECHECK。

2020年10月至2021年3月,UNC2717以全球 *** 机构为目的渗透,使用的恶意软件家族包罗:HARDPULSE,QUIETPULSE和PULSEJUMP。

UNC2630所用到的基础设施、工具和网络行为似乎都是唯一无二的,没有在任何其他流动中检测到的迹象。Mandiant暂时无法将其归因于任何现有的APT组织,但若是以攻击目的来看,研究职员推测其可能与APT5有关。APT5主要针对西欧等国的国防和手艺公司。

至于UNC2717,所得信息更少,无法对其归因。

更多手艺细节请参见:https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

本文翻译自:https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

本文链接:http://www.kariteparis.com/post/2750.html

网友评论