CVE-2021-26084 Olaylarına Genel Bakış

CVE-2021-26084

CVE-2021-26084 ve Tehdit sinyali

CVE-2021-26084 hakkında bir tehdit aktörünün yama uygulanmamış rastgele kod çalıştırabilen haberden sonra bir Tehdit Sinyali yayınladı. Öneriyi paylaştıktan sonra, halka açık bir şekilde çok sayıda tarama ve kavram kanıtı açıklarından yararlanma kodu ortaya çıkmaktadır.

CVE-2021-26084 Olaylarına Genel Bakış

Eylül ayında, bir kullanıcının ağına bir back-door veya miner yükleyecek kötü amaçlı bir yük indirebilen güvenlik açığı tespit edildi. Bu güvenlik açığını hedef alan çok sayıda tehdit aktörü olduğunu ve bunların arasında Cryptojacking, Setag backdoor, bir sistemde PowerShell‘i kullanarak Shell’i dosya düşürmeden ve Muhstik botnet‘i kullanan Fileless saldırısı gibi tehditler tespit edildi.

Bu güvenlik açığı için farklı saldırı vektörlerinden oluşuyor. Ancak, bu saldırıların tümü aşağıdaki paket yakalamada gösterilen “queryString” parametresini hedefliyor:

CVE-2021-26084

Kripto Hırsızlığı

CVE-2021-26084’ü kullandıktan sonra, init.sh dosyasını 86.105.195[.]120’den indirir. Shell, aşağıdaki görevleri içeren bir kripto minerıdır:

  1. Sistem günlüğünü sil.
  2. Sık kullanılan komutu değiştir.
  3. Aliyun hizmetlerini ve apparmor‘u durdurun.
  4.  miner execution file (zzh) ve kendisi için yolu ayarlayın, ancak newinit.sh olarak yeniden adlandırın.
  5. Diğer tüm miner süreçlerini bitir.
  6. Kalıcılık sağlamak için crontab kullanın.
  7. Tarama shell alın (is.sh).
  8. İzi temizle.
CVE-2021-26084

Tarama shelli, yayılmaya devam etmek için canlı ana bilgisayarı keşfetmek amacıyla IPv4 TCP ağını taramak ve araştırmak için kullanılabilecek Masscan, Pnscan, vb. gibi bir tarama aracı indirmeye çalışır.

Tarama için belirli adımları tanımlayan bir shell indirir. İndirici yolu aşağıda gösterilmiştir:

  • İlk olarak, oturum açma brute force aracı hxx (md5: f0551696774f66ad3485445d9e3f7214) ve hesap/şifre listesi ps (md5: a43ad8a740081f0b5a89e219fe8475a3) alın,
  • Özel ağa ait alt ağı subnet tarayın (172.16.0.0/12, 162.10.0.0). /8).

Bu, kötü amaçlı yazılımın mağdurun intranetinde daha fazla cihaza giriş yapmasına ve miner komut dosyasını (init.sh) yaymasına izin vermek için yapılan işlemlerdir.

Tüm iş akışı aşağıda gösterilmektedir:

Setag- Ayarlama

Aşağıdaki açıklardan yararlanma trafiği 86.105.195.154 (AS 3164 Astimp IT Solution SRL) IP adresinden gözlemlendi. BillGates veya Ganiw olarak da bilinen Setag, sunucuyu 1 günlük güvenlik açığıyla hedefleyen iyi bilinen bir kötü amaçlı yazılım ailesinin bir üyesidir. DoS saldırısını gerçekleştirmek için esas olarak UDP/SYN/ICMP/DNS akışları kullanır. Ama aynı zamanda hem kendi durumunu hem de mağdurlarını kontrol edebilen çeşitli komutlara sahiptir. Dos saldırısı veya kurbanlarını kontrol etme komutu aşağıdaki rawdatada incelenebilir:

Dosya Saldırısı

Gözlenen paket 141.98.83.139 (AS 209588 Flyservers S.A.) kaynaklıdır ve ana yükün kodu b64‘tür. Kodu çözülen veriler şekildeki gibidir:

Yüklemenin PowerShell üzerinden oluşturulup yürütüldüğü görülmektedir. Son yürütme, “WindowStyle“ı gizli olarak ve “CreateNoWindow“u True olarak ayarlayacaktır. Böylece kendisini saklayabilir. Ortadaki bu verilerin kodunu, {0} ve {1}’yi “=” ve “P” ardından İkinci katman payload verileri ile değiştirelim:

İki işlev ve main exploit kodunu içeren bir değişken tanımladı. Kodu $sG’ye dönüştürdükten sonra, belleğin bir bölümünü ayırmak için VirtualAlloc kullanılır. Daha sonra, kötü amaçlı kodu oluşturmak için CreateThread’i kullanır.

Öyleyse $sG nedir? B64 kod çözme işleminden sonra aşağıdaki gibi yaklaşık 570 bayt binary data elde ederiz:

Bu kodları dikkatlice incelemek için, bu binary dosyayı IDA tarafından kontrol etmeliyiz. loc_D6’ya yapılan ilk işlemin ardından ws2_32 koyar ve edx, 726774ch hareket eder ve bu LoadLibrary fonksiyonunun hash değeridir, detay kodu aşağıdaki gibidir:

Bu, 141.98.83[.]139 numaralı exploit kaynağına tcp portu 23733 üzerinden bağlanan bir reverse shell meterpreter shell kodudur. Port şu anda kapalı olduğundan, sadece aşağıdaki paketleri yakalamayı başardık. Ancak tüm saldırı süreci, yalnızca katman katman kodu çözmek için PowerShell’den yararlandı ve kendini gizlemek için gizli pencere stilini kullandı. Ve son olarak, reverse shell’e ulaşmak için bir konu oluşturun. Dosyasız saldırı olarak da bilinen saldırının arkasında tek bir dosya dahi bırakılmaz.

Muhstik

CVE-2021-26084’ü kullanarak, conf2’yi 149.28.85[.]17’den indirir. Dosya, dk86’yı 188.166.137[.]241 ve ldm komut dosyasından dağıtacak ve yürütecektir. Daha sonra saldırı senaryosu bu makalede analiz edilmiştir, ancak Muhstik’in conf2’sini yaymaya yönelik farklı bir sunucu IP’si ve daha fazla saldırı kaynağı IP’si araştırdık.

Çözüm

CVE-2021-26084 yayınlansa bile, halka açık saldırılar hala devam etmektedir. Bu gönderide, CVE-2021-26084 saldırıların ayrıntılarını verdik ve kötü amaçlı yazılım dağıtmak için yükü nasıl kullandıklarını gösterdik.

 IOC

ValueItem
86.105.195.154Cryptojacking expolit source IP address
86.105.195.120Cryptojacking dropper hosting IP address
911e417b9bc8689a3eed828f0b39f579hxxp://86.105.195.120/cleanfda/init.sh
hxxp://86.105.195.120/cleanfda/newinit.sh
75259ee2db52d038efea5f939f68f122hxxp://86.105.195.120/cleanfda/zzh
4a7bf7f013cc2297d62627b2b78c5b0bhxxp://86.105.195.120/cleanfda/is.sh
8cc2b831e29dc9f4832a162e9f425649hxxp://86.105.195.120/cleanfda/rs.sh
2.57.33.59Setag expolit source IP address
209.141.50.210Setag dropper hosting IP address
a8eb59396d698bda5840c8b73c34a03bhxxp://209.141.50.210/syna
141.98.83.139Fileless attack expolit source IP address
1b8a7954b9630be2e0dd186a4fc6a32a2nd layer payload data
bf8a7b199f3293852c7f2b3578e8c0aeBinary shellcode
98.239.93.20
87.106.194.46
51.75.195.137
34.247.148.227
121.196.25.170
221.168.37.77
122.9.48.250
18.182.153.49
Muhstik exploit source IP address
149.28.85.17Conf2 dropper hosting IP address
6078c8a0c32f4e634f2952e3ebac2430hxxp://149.28.85.17/conf2

İlgili diğer yazılarımıza ulaşmak için tıklayabilirsiniz.

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »