Εντοπισμός MeshAgent με το Cyber Radar

What is MeshAgent:

MeshAgent is software that allows users to remotely manage terminal systems by connecting to an open source remote system management server called MeshCentral. Users can install MeshAgent on Windows, Linux, macOS and FreeBSD terminal systems. MeshAgent is not malicious in principle, but it can be misused by malicious users to create backdoors on terminal systems. It allows users to use remote access programs such as VNC, RDP or SSH to connect to a remote device.

Malicious users commonly use MeshAgent for the following reasons:

Το MeshCentral δεν απαιτεί καμία επιπλέον ενέργεια από τον χρήστη για να δημιουργήσει συνδέσεις μεταξύ των τερματικών συστημάτων μόλις εγκατασταθεί το MeshAgent.
Το MeshCentral μπορεί να συνδεθεί απευθείας στο MeshAgent ή μέσω RDP χωρίς τη συγκατάθεση του τερματικού συστήματος.
Το MeshCentral είναι σε θέση να ενεργοποιήσει, να απενεργοποιήσει και να επανεκκινήσει τα τερματικά συστήματα του MeshAgent.
Το MeshCentral μπορεί να λειτουργήσει ως ένας διακομιστής ελέγχου και εντολών, καθώς παρέχει τη δυνατότητα εκτέλεσης shell commands σε τερματικά συστήματα του MeshAgent χωρίς τη γνώση του χρήστη.
Το MeshCentral μπορεί να αποστείλει ή να μεταφορτώσει αρχεία σε τερματικά συστήματα του MeshAgent.
Οι λειτουργίες που εκκινούνται από το MeshCentral στο MeshAgent εκτελούνται από τον λογαριασμό NT AUTHORITY\SYSTEM. Αυτός ο λογαριασμός χειρίζεται εργασίες παρασκηνίου και διαχείρισης και συνήθως δεν θα ανιχνευόταν ως ασυνήθιστη ενέργεια του λειτουργικού συστήματος.
Είναι δύσκολο να ανιχνευθεί το εκτελέσιμο αρχείο του MeshAgent με βάση τα hashes των αρχείων, καθώς οι χρήστες δημιουργούν μοναδικά αρχεία MeshAgent στο MeshCentral.

Behavioral analysis:

Οι κακόβουλοι χρήστες μπορεί να παραδώσουν το MeshAgent στο τελικό σύστημα προορισμού ως συνημμένο σε ένα ανεπιθύμητο email (phishing mail). Το MeshAgent έχει υψηλή πιθανότητα να παρακάμπτει προγράμματα προστασίας που βασίζονται σε θύρες (port-based firewalls), καθώς χρησιμοποιεί τυπικές θύρες όπως τις 80 και 443 για την επικοινωνία με το MeshCentral.

Το MeshAgent κάνει τις ακόλουθες ενέργειες όταν εκτελείται σε ένα τερματικό των Windows:

Δημιουργεί μία διεργασία για την εκτέλεση της υπηρεσίας background του MeshCentral.
Ενσωματωνει μια δικτυακή σύνδεση χρησιμοποιώντας τη διεύθυνση IP του MeshCentral.
Δημιουργεί ένα κανάλι επικοινωνίας μέσω pipe κάθε φόρα που ξεκινάει επικοινωνία από ή προς το MeshCentral.
Tο MeshAgent εγκαθίσταται συνήθως με τη flag -fullinstall στη γραμμή εντολών.
Συνήθως εγκαθιστά το εκτελέσιμο αρχείο του MeshAgent στη διαδρομή αρχείων C:\Program Files\Mesh Agent\MeshAgent.exe.
Δημιουργεί ένα κλειδί μητρώου (registry key) HKLM\System\CurrentControlSet\Services\Mesh Agent. Αυτό το κλειδί χρησιμοποιείται από το MeshAgent για την αποθήκευση των ρυθμίσεων διαμόρφωσης και των επιλογών που απαιτούνται για τη σωστή λειτουργία του.
Δημιουργεί ένα κλειδί μητρώου (registry key) στη διαδρομή HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent. Το υποκλειδί SafeBoot υποδηλώνει ότι το σύστημα εκκινήθηκε σε Ασφαλή Λειτουργία κατά τη σύνδεση με το MeshCentral και μπορεί να έχει πρόσβαση σε πόρους του δικτύου χωρίς διαπιστευτήρια (credentials).
Tο MeshAgent τροποποιεί την υπηρεσία των Windows για να επιτύχει την ανθεκτικότητα σε ένα τερματικό σύστημα. Δημιουργεί ένα κλειδί μητρώου (registry key) στη διαδρομή HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\ για να διαμορφώσει τον τοίχο προστασίας των Windows και να επιτρέψει την εισερχόμενη και εξερχόμενη κίνηση του WebRTC προς το MeshCentral.
Το MeshAgent εκτελεί τις περισσότερες από τις ενέργειες του χρησιμοποιώντας τους λογαριασμούς NT AUTHORITY\SYSTEM και LocalService, οι οποίοι έχουν απεριόριστα προνόμια στα τερματικά συστήματα των Windows.

Το MeshAgent κάνει τις ακόλουθες συμπεριφορές όταν επανασυνδέεται στο MeshCentral:

Δημιουργεί έναν κανάλι επικοινωνίας μέσω pipe κάθε φορά που επαναλαμβάνεται η επικοινωνία από ή προς το MeshCentral.
Δημιουργεί ένα κλειδί μητρώου (registry key) στο HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask για να προγραμματίσει ορισμένες διεργασίες που το MeshCentral μπορεί να εκτελέσει. Οι διεργασίες αυτές περιλαμβάνουν την αφύπνιση από κατάσταση αναστολής, την αναστολή και την ενεργοποίηση του υπολογιστή. Άλλες δραστηριότητες για τις οποίες το MeshAgent προγραμματίζει διεργασίες περιλαμβάνουν την εκτέλεση εντολών, τη μεταφόρτωση και τη λήψη αρχείων.