Техники: T1601 , T1601.001 , T1601.002
Злоумышленники могут модифицировать операционную систему сетевого устройства, чтобы внедрить новые возможности или ослабить существующую защиту.(Цитата: Убить миф о руткитах Cisco IOS)(Цитата: Убить миф о разнообразии IOS)(Цитата: Шелковый код Cisco IOS)(Цитата: Разработки криминалистов Cisco IOS)(Цитата: Juniper Netscreen of the Dead) Некоторые сетевые устройства построены по монолитной архитектуре, где вся операционная система и большая часть функциональности устройства содержится в одном файле. Злоумышленники могут изменить этот файл в хранилище, которое будет загружено при последующей загрузке, или в памяти во время выполнения.
Чтобы изменить операционную систему в памяти, злоумышленник обычно использует стандартные процедуры, доступные операторам устройств. Это может включать загрузку нового файла через типичные протоколы, используемые на сетевых устройствах, такие как TFTP, FTP, SCP или консольное соединение. Оригинальный файл может быть перезаписан, либо новый файл может быть записан рядом с ним, а устройство переконфигурировано для загрузки скомпрометированного образа.
Чтобы изменить операционную систему в памяти, злоумышленник обычно использует один из двух методов. В первом случае злоумышленник использует встроенные отладочные команды оригинальной, неизмененной операционной системы, которые позволяют ему напрямую изменять соответствующие адреса памяти, содержащие запущенную операционную систему. Этот метод обычно требует доступа к устройству на административном уровне.
Во втором случае для изменения операционной системы в памяти злоумышленник использует загрузчик. Загрузчик - это первая часть программного обеспечения, загружаемая при запуске устройства, которая, в свою очередь, запускает операционную систему. Злоумышленники могут использовать вредоносный код, предварительно внедренный в загрузчик, например, с помощью метода ROMMONkit, для прямого манипулирования кодом операционной системы в памяти. Этот вредоносный код в загрузчике предоставляет злоумышленнику возможность прямого манипулирования памятью, что позволяет ему вносить изменения в операционную систему во время выполнения.
Изменяя инструкции, хранящиеся в файле образа системы, злоумышленники могут либо ослабить существующие средства защиты, либо предоставить новые возможности, которых раньше у устройства не было. Примерами существующих средств защиты, которые могут быть ослаблены, являются шифрование с помощью Weaken Encryption, аутентификация с помощью Network Device Authentication и защита периметра с помощью Network Boundary Bridging. К числу новых возможностей, добавляемых Злоумышленником, относятся Keylogging, Multi-hop Proxy и Port Knocking.
Злоумышленники также могут скомпрометировать существующие команды в операционной системе, чтобы выдать ложный результат и ввести защитников в заблуждение. Если этот метод используется в сочетании с Downgrade System Image, одним из примеров взлома системной команды может быть изменение вывода команды, показывающей версию текущей операционной системы. Заплатив операционную систему, злоумышленник может изменить эту команду так, чтобы вместо нее отображался оригинальный номер более высокой ревизии, который он заменил с помощью понижения версии системы.
Когда операционная система исправляется в хранилище, это может быть сделано либо в резидентном хранилище (обычно это энергонезависимая флэш-память), либо через TFTP Boot.
Когда техника выполняется на работающей операционной системе в памяти, а не на сохраненной копии, эта техника не выживет после перезагрузки.Однако для достижения стойкости можно использовать модификацию операционной системы в памяти в сочетании с ROMMONkit.
https://attack.mitre.org/techniques/T1601/001
Визуализация смежных техник для T1601.001
| № | Техника |
|---|
