Τι είναι το MeshAgent:
Το MeshAgent είναι ένα λογισμικό που επιτρέπει στους χρήστες να διαχειρίζονται απομακρυσμένα τα τερματικά συστήματα συνδεόμενοι σε έναν ανοιχτού πηγαίου κώδικα διακομιστή διαχείρισης απομακρυσμένων συστημάτων που ονομάζεται MeshCentral. Οι χρήστες μπορούν να εγκαταστήσουν το MeshAgent σε τερματικά συστήματα Windows, Linux, macOS και FreeBSD. Το MeshAgent δεν είναι κατ’ αρχήν κακόβουλο, αλλά μπορεί να χρησιμοποιηθεί κατάχρηστα από κακόβουλους χρήστες για να δημιουργήσουν backdoors σε τερματικά συστήματα. Επιτρέπει στους χρήστες να χρησιμοποιήσουν προγράμματα απομακρυσμένης πρόσβασης όπως το VNC, το RDP ή το SSH για να συνδεθούν με μία απομακρυσμένη συσκευή.
Οι κακόβουλοι χρήστες συνήθως χρησιμοποιούν το MeshAgent για τους ακόλουθους λόγους:
- Το MeshCentral δεν απαιτεί καμία επιπλέον ενέργεια από τον χρήστη για να δημιουργήσει συνδέσεις μεταξύ των τερματικών συστημάτων μόλις εγκατασταθεί το MeshAgent.
- Το MeshCentral μπορεί να συνδεθεί απευθείας στο MeshAgent ή μέσω RDP χωρίς τη συγκατάθεση του τερματικού συστήματος.
- Το MeshCentral είναι σε θέση να ενεργοποιήσει, να απενεργοποιήσει και να επανεκκινήσει τα τερματικά συστήματα του MeshAgent.
- Το MeshCentral μπορεί να λειτουργήσει ως ένας διακομιστής ελέγχου και εντολών, καθώς παρέχει τη δυνατότητα εκτέλεσης shell commands σε τερματικά συστήματα του MeshAgent χωρίς τη γνώση του χρήστη.
- Το MeshCentral μπορεί να αποστείλει ή να μεταφορτώσει αρχεία σε τερματικά συστήματα του MeshAgent.
- Οι λειτουργίες που εκκινούνται από το MeshCentral στο MeshAgent εκτελούνται από τον λογαριασμό NT AUTHORITY\SYSTEM. Αυτός ο λογαριασμός χειρίζεται εργασίες παρασκηνίου και διαχείρισης και συνήθως δεν θα ανιχνευόταν ως ασυνήθιστη ενέργεια του λειτουργικού συστήματος.
- Είναι δύσκολο να ανιχνευθεί το εκτελέσιμο αρχείο του MeshAgent με βάση τα hashes των αρχείων, καθώς οι χρήστες δημιουργούν μοναδικά αρχεία MeshAgent στο MeshCentral.
Ανάλυση συμπεριφοράς:
Οι κακόβουλοι χρήστες μπορεί να παραδώσουν το MeshAgent στο τελικό σύστημα προορισμού ως συνημμένο σε ένα ανεπιθύμητο email (phishing mail). Το MeshAgent έχει υψηλή πιθανότητα να παρακάμπτει προγράμματα προστασίας που βασίζονται σε θύρες (port-based firewalls), καθώς χρησιμοποιεί τυπικές θύρες όπως τις 80 και 443 για την επικοινωνία με το MeshCentral.
Το MeshAgent κάνει τις ακόλουθες ενέργειες όταν εκτελείται σε ένα τερματικό των Windows:
- Δημιουργεί μία διεργασία για την εκτέλεση της υπηρεσίας background του MeshCentral.
- Ενσωματωνει μια δικτυακή σύνδεση χρησιμοποιώντας τη διεύθυνση IP του MeshCentral.
- Δημιουργεί ένα κανάλι επικοινωνίας μέσω pipe κάθε φόρα που ξεκινάει επικοινωνία από ή προς το MeshCentral.
- Tο MeshAgent εγκαθίσταται συνήθως με τη flag -fullinstall στη γραμμή εντολών.
- Συνήθως εγκαθιστά το εκτελέσιμο αρχείο του MeshAgent στη διαδρομή αρχείων C:\Program Files\Mesh Agent\MeshAgent.exe.
- Δημιουργεί ένα κλειδί μητρώου (registry key) HKLM\System\CurrentControlSet\Services\Mesh Agent. Αυτό το κλειδί χρησιμοποιείται από το MeshAgent για την αποθήκευση των ρυθμίσεων διαμόρφωσης και των επιλογών που απαιτούνται για τη σωστή λειτουργία του.
- Δημιουργεί ένα κλειδί μητρώου (registry key) στη διαδρομή HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent. Το υποκλειδί SafeBoot υποδηλώνει ότι το σύστημα εκκινήθηκε σε Ασφαλή Λειτουργία κατά τη σύνδεση με το MeshCentral και μπορεί να έχει πρόσβαση σε πόρους του δικτύου χωρίς διαπιστευτήρια (credentials).
- Tο MeshAgent τροποποιεί την υπηρεσία των Windows για να επιτύχει την ανθεκτικότητα σε ένα τερματικό σύστημα. Δημιουργεί ένα κλειδί μητρώου (registry key) στη διαδρομή HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\ για να διαμορφώσει τον τοίχο προστασίας των Windows και να επιτρέψει την εισερχόμενη και εξερχόμενη κίνηση του WebRTC προς το MeshCentral.
- Το MeshAgent εκτελεί τις περισσότερες από τις ενέργειες του χρησιμοποιώντας τους λογαριασμούς NT AUTHORITY\SYSTEM και LocalService, οι οποίοι έχουν απεριόριστα προνόμια στα τερματικά συστήματα των Windows.
Το MeshAgent κάνει τις ακόλουθες συμπεριφορές όταν επανασυνδέεται στο MeshCentral:
- Δημιουργεί έναν κανάλι επικοινωνίας μέσω pipe κάθε φορά που επαναλαμβάνεται η επικοινωνία από ή προς το MeshCentral.
- Δημιουργεί ένα κλειδί μητρώου (registry key) στο HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask για να προγραμματίσει ορισμένες διεργασίες που το MeshCentral μπορεί να εκτελέσει. Οι διεργασίες αυτές περιλαμβάνουν την αφύπνιση από κατάσταση αναστολής, την αναστολή και την ενεργοποίηση του υπολογιστή. Άλλες δραστηριότητες για τις οποίες το MeshAgent προγραμματίζει διεργασίες περιλαμβάνουν την εκτέλεση εντολών, τη μεταφόρτωση και τη λήψη αρχείων.
Εντοπισμός MeshAgent:
Το Cyber Radar έχει τη δυνατότητα να ανιχνεύει αυτές τις ενέργειες κατά την εκτέλεσή τους σε ένα σύστημα και να δημιουργεί αντίστοιχες ειδοποιήσεις. Οι ειδοποιήσεις αυτές αναλύονται και αξιολογούνται, και κατόπιν πραγματοποιούνται οι απαραίτητες ενέργειες για την αντιμετώπιση των συμβάντων.
Περισσότερες πληροφορίες για το Cyber Radar μπορείτε να βρείτε εδώ: https://www.audax.gr/gia-epixeiriseis/cyber-radar-unified-xdr-siem-platform/
Άν επιθυμείτε να δείτε ένα DEMO του Cyber Radar επικοινωνήστε μαζί μας από εδώ: https://www.audax.gr/?page_id=860