Сетевые администраторы часто используют интерпретаторы командной строки (CLI) для управления и обслуживания сетевых устройств. Злоумышленники могут использовать эти CLI для манипулирования функциями сетевого устройства в своих интересах, включая изменение конфигурации устройства или выполнение несанкционированных операций.
Доступ к CLI обычно осуществляется с помощью программы-эмулятора терминала с IP-адресом устройства и соответствующими именем пользователя и паролем. После успешного входа в систему пользователи могут вводить команды для выполнения различных задач, таких как проверка или изменение конфигурации устройства, мониторинг статистики и данных в реальном времени или наблюдение за работой устройства. CLI обычно предоставляет набор команд, специфичных для конкретного устройства и операционной системы.
Использование злоумышленниками командной строки сетевых устройств
Интерфейс командной строки (CLI) сетевого устройства является общей точкой сосредоточения злоумышленников, стремящихся манипулировать функциональностью сетевых устройств.
Существуют различные методы, с помощью которых злоумышленники пытаются получить несанкционированный доступ к CLI сетевого устройства. Один из распространенных подходов предполагает использование атак методом грубой силы, при котором злоумышленник систематически проверяет различные комбинации имен пользователей и паролей, чтобы определить правильные учетные данные. Этот процесс можно автоматизировать с помощью специализированных инструментов. Узнать учетные данные сетевого устройства может оказаться очень просто, поскольку многие пользователи не меняют стандартные имена пользователей и пароли.
Использование злоумышленниками этих CLI позволяет изменять поведение сетевых устройств в своих интересах, что может привести к несанкционированным действиям и сбоям в работе сети.
Кампания ArcaneDoor
В апреле 2024 года исследователи раскрыли кампанию «ArcaneDoor», в ходе которой спонсируемые государством лица использовали уязвимости в программном обеспечении Cisco Adaptive Security Appliances (ASA) и Firepower Threat Defense (FTD).
В рамках этой кампании, ориентированной на шпионаж, злоумышленники использовали интерфейс командной строки (CLI) сетевого устройства для манипулирования и управления скомпрометированными сетевыми устройствами периметра. Используя собственную вредоносную программу «Line Dancer», злоумышленники выполняли определенные команды для изменения конфигурации, утечки данных и обеспечения скрытности. Выполняя такие команды, как show configuration, они извлекали подробные конфигурации устройств, что позволяло проводить дальнейшую разведку и латеральное перемещение. Чтобы избежать обнаружения и скрыть свои действия, злоумышленники также отключали ведение журнала через CLI. Кроме того, они использовали CLI для создания и распространения перехвата пакетов, что давало представление о сетевом трафике. Команды типа write mem использовались для сохранения вредоносных изменений в памяти устройства, обеспечивая их постоянство. Эти вредоносные действия использовали легитимную функциональность CLI для эффективного осуществления шпионажа.
1 2 3 4 5 6 7 8 9 10 11 | # Отображение текущей конфигурации устройства show configuration # Сохранить измененную конфигурацию в памяти write mem # Отключить ведение журнала для сокрытия действий logging disable # Создайте захват пакетов и сохраните его на устройстве capture capture_name interface inside match ip any any # Экспортируйте файл захвата пакетов для последующей эксфильтрации copy /pcap disk0:/capture_name.pcap |
Эти команды демонстрируют, как злоумышленники использовали CLI для проведения разведки, изменения поведения системы и утечки критически важных данных, избегая при этом обнаружения.