MITRE ATT&CK T1059.008 - Интерпретаторы командной строки и сценариев: Интерпретаторы командной строки сетевых устройств

MITRE ATT&CK

Сетевые администраторы часто используют интерпретаторы командной строки (CLI) для управления и обслуживания сетевых устройств. Злоумышленники могут использовать эти CLI для манипулирования функциями сетевого устройства в своих интересах, включая изменение конфигурации устройства или выполнение несанкционированных операций.

Доступ к CLI обычно осуществляется с помощью программы-эмулятора терминала с IP-адресом устройства и соответствующими именем пользователя и паролем. После успешного входа в систему пользователи могут вводить команды для выполнения различных задач, таких как проверка или изменение конфигурации устройства, мониторинг статистики и данных в реальном времени или наблюдение за работой устройства. CLI обычно предоставляет набор команд, специфичных для конкретного устройства и операционной системы.

Использование злоумышленниками командной строки сетевых устройств

Интерфейс командной строки (CLI) сетевого устройства является общей точкой сосредоточения злоумышленников, стремящихся манипулировать функциональностью сетевых устройств.

Существуют различные методы, с помощью которых злоумышленники пытаются получить несанкционированный доступ к CLI сетевого устройства. Один из распространенных подходов предполагает использование атак методом грубой силы, при котором злоумышленник систематически проверяет различные комбинации имен пользователей и паролей, чтобы определить правильные учетные данные. Этот процесс можно автоматизировать с помощью специализированных инструментов. Узнать учетные данные сетевого устройства может оказаться очень просто, поскольку многие пользователи не меняют стандартные имена пользователей и пароли.

Использование злоумышленниками этих CLI позволяет изменять поведение сетевых устройств в своих интересах, что может привести к несанкционированным действиям и сбоям в работе сети.

Кампания ArcaneDoor

В апреле 2024 года исследователи раскрыли кампанию «ArcaneDoor», в ходе которой спонсируемые государством лица использовали уязвимости в программном обеспечении Cisco Adaptive Security Appliances (ASA) и Firepower Threat Defense (FTD).

В рамках этой кампании, ориентированной на шпионаж, злоумышленники использовали интерфейс командной строки (CLI) сетевого устройства для манипулирования и управления скомпрометированными сетевыми устройствами периметра. Используя собственную вредоносную программу «Line Dancer», злоумышленники выполняли определенные команды для изменения конфигурации, утечки данных и обеспечения скрытности. Выполняя такие команды, как show configuration, они извлекали подробные конфигурации устройств, что позволяло проводить дальнейшую разведку и латеральное перемещение. Чтобы избежать обнаружения и скрыть свои действия, злоумышленники также отключали ведение журнала через CLI. Кроме того, они использовали CLI для создания и распространения перехвата пакетов, что давало представление о сетевом трафике. Команды типа write mem использовались для сохранения вредоносных изменений в памяти устройства, обеспечивая их постоянство. Эти вредоносные действия использовали легитимную функциональность CLI для эффективного осуществления шпионажа.

Эти команды демонстрируют, как злоумышленники использовали CLI для проведения разведки, изменения поведения системы и утечки критически важных данных, избегая при этом обнаружения.

Комментарии: 0