UMBRELLA STAND: анализ угроз и уязвимостей FortiGate 100D
Недавно был выявлен новый сложный набор вредоносного программного обеспечения под названием UMBRELLA STAND, нацеленный на эксплуатацию уязвимостей в брандмауэрах FortiGate 100D производства Fortinet. Его основная задача — обеспечение долгосрочного скрытого доступа к заражённым устройствам. Благодаря этому злоумышленники получают возможность управления системами на уровне командной оболочки, что представляет серьёзную угрозу безопасности корпоративных сетей.
Основные характеристики и механизмы работы UMBRELLA STAND
UMBRELLA STAND построен как модульная платформа, которая включает разнообразные компоненты для выполнения удалённых команд и сбора данных. Вредоносная программа использует нестандартный протокол взаимодействия с сервером управления (C2), маскируясь под легитимный TLS-трафик на порту 443. Однако связь по TLS происходит без должного подтверждения, что отличает её от законных защищённых коммуникаций.
- Использование поддельного TLS-заголовка для передачи команд и получения ответов;
- Период ожидания маяков — первые 30 запросов отправляются с интервалом в 11 секунд, затем применяется настраиваемый интервал с дополнительной задержкой в 2 секунды;
- Уникальные идентификаторы устройств генерируются на основе имени хоста заражённой системы, что обеспечивает индивидуальный обмен данными с C2;
- Возможность перезаписывать функции перезагрузки устройства — механизм автозапуска при каждом ребуте;
- Защита и скрытность — использование скрытых директорий и имитация системных файлов Linux;
- Часть данных и строк кода шифруется с помощью AES, чтобы затруднить их обнаружение и анализ.
Интеграция с общедоступными инструментами
UMBRELLA STAND не ограничивается собственными возможностями, злоумышленники расширяют функционал за счёт взаимодействия с общеупотребимыми утилитами:
- BusyBox — для выполнения базовых системных команд;
- tcpdump — сбор и анализ сетевого трафика;
- nbtscan — сканирование сетевых устройств в локальной сети;
- OpenLDAP — управление и запросы к LDAP-каталогам.
Такой подход даёт злоумышленникам возможность гибко и эффективно управлять заражёнными устройствами, а также осуществлять сбор важной информации из сети.
Технические детали коммуникаций и особенности безопасности
Для поддержания связи с сервером C2 был выявлен жёстко зашитый IP-адрес: 89.44.194.32. Трафик между заражённым устройством и сервером управления содержит структурированную полезную нагрузку, зашифрованную и запутанную с целью сокрытия своей истинной природы.
Важной особенностью UMBRELLA STAND является скрытность и обеспечение устойчивости к обнаружению:
- Применение скрытых каталогов и имён файлов, весьма схожих с типичными системными;
- Использование AES-шифрования для строк и данных, что значительно усложняет реверс-инжиниринг и анализ вредоносного кода;
- Перезапись и перехват функций перезагрузки системы для обеспечения автозапуска вредоноса при каждом старте устройства.
Заключение
UMBRELLA STAND представляет собой продвинутую и опасную угрозу для инфраструктуры, использующей FortiGate 100D. Стремление злоумышленников обеспечить долгосрочный и скрытый контроль, а также использование сложных методик маскировки и шифрования — яркое свидетельство роста уровня организации киберпреступных группировок.
Рекомендация для владельцев FortiGate 100D — незамедлительно проверить устройства на наличие признаков компрометации и обновить программное обеспечение до последних версий, включая обновления безопасности Fortinet.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
