Loading...
Новости

Повседневные ИТ-инструменты могут предложить хакерам «режим бога»

ИТ безопасность

В Интернете более тысячи компаний потратили последнюю неделю на раскопки массовых инцидентов с программами-вымогателями.

После разрушительного взлома популярного инструмента управления ИТ Kaseya исследователи и профессионалы в области безопасности предупреждают, что это поражение — не разовое событие, а часть тревожной тенденции. Хакеры все чаще изучают весь класс инструментов, которые администраторы используют для удаленного управления ИТ-системами, видя в них потенциальные скелетные ключи, которые могут дать им доступ к сети жертвы.

Из взлома цепочки поставок, спонсируемого китайским государством до бесхитростного нападения на водоочистную станцию ​​во Флориде — и многих менее заметных событий между ними — отрасль безопасности стала свидетелем растущего числа взломов, в которых использовались преимущества так называемых инструментов удаленного управления. А на конференции по безопасности Black Hat в следующем месяце пара британских исследователей планирует представить методы, которые они разработали в качестве тестеров на проникновение для охранной фирмы F-Secure, что позволило им захватить еще один популярный инструмент того же типа — на этот раз ориентированный на на компьютерах Mac, а не на компьютерах с Windows, известный как Jamf.

Подобно Kaseya, Jamf используется администраторами предприятий для настройки и управления сотнями или тысячами компьютеров в ИТ-сетях. Люк Робертс и Калум Холл планируют продемонстрировать уловки — которые на данный момент остаются техническими демонстрациями, а не теми, которые, как они видели, использовались настоящими злоумышленниками, — которые позволили бы им использовать инструмент удаленного управления для слежки за целевыми машинами, извлечения файлов. от них, распространяют контроль с одной машины на другую и в конечном итоге устанавливают вредоносное ПО, как это делают банды вымогателей, когда сбрасывают свои ужасающие полезные нагрузки.

Техника перехвата удаленного управления, которую Робертс и Холл планируют продемонстрировать в Black Hat, требует от хакеров, чтобы они изначально закрепились на целевом компьютере. Но после установки злоумышленники могут использовать их, чтобы значительно расширить свой контроль над этим устройством и перейти к другим в сети.

В одном случае исследователи продемонстрировали, что если они просто изменят одну строку в файле конфигурации на ПК, на котором работает Jamf, они могут заставить его подключиться к их собственному вредоносному серверу Jamf, а не к легитимному серверу целевой организации. Внести это изменение, как они отмечают, можно так же просто, как выдать себя за ИТ-персонал и обманом заставить сотрудника изменить эту строку или открыть злонамеренно созданный файл конфигурации Jamf, отправленный в фишинговом письме. Используя Jamf как собственное командно-управляющее соединение с целевой машиной, они могут использовать Jamf для полного наблюдения за целевым компьютером, извлечения из него данных, выполнения команд или установки программного обеспечения. Поскольку их метод не требует установки вредоносного ПО, он также может быть гораздо более скрытным, чем средний троян удаленного доступа.

С помощью второго метода два исследователя обнаружили, что они могут использовать Jamf, выдавая себя за ПК. В этом методе вторжения они олицетворяют компьютер целевой организации, на котором работает Jamf, а затем обманывают сервер Jamf организации, чтобы отправить этому компьютеру набор учетных данных пользователя. Эти учетные данные затем разрешают доступ через другие машины организации. Обычно эти учетные данные хранятся в памяти ПК, где мера «защиты целостности системы» Mac обычно не позволяет хакерам получить к ней доступ. Но поскольку хакер запускает клиент Jamf на своем собственном компьютере, он может отключить SIP, извлечь украденные учетные данные и использовать их для переключения на другие компьютеры в сети целевой организации.