CVE-2021-26084 ve Tehdit sinyali
CVE-2021-26084 hakkında bir tehdit aktörünün yama uygulanmamış rastgele kod çalıştırabilen haberden sonra bir Tehdit Sinyali yayınladı. Öneriyi paylaştıktan sonra, halka açık bir şekilde çok sayıda tarama ve kavram kanıtı açıklarından yararlanma kodu ortaya çıkmaktadır.
CVE-2021-26084 Olaylarına Genel Bakış
Eylül ayında, bir kullanıcının ağına bir back-door veya miner yükleyecek kötü amaçlı bir yük indirebilen güvenlik açığı tespit edildi. Bu güvenlik açığını hedef alan çok sayıda tehdit aktörü olduğunu ve bunların arasında Cryptojacking, Setag backdoor, bir sistemde PowerShell‘i kullanarak Shell’i dosya düşürmeden ve Muhstik botnet‘i kullanan Fileless saldırısı gibi tehditler tespit edildi.
Bu güvenlik açığı için farklı saldırı vektörlerinden oluşuyor. Ancak, bu saldırıların tümü aşağıdaki paket yakalamada gösterilen “queryString” parametresini hedefliyor:
Kripto Hırsızlığı
CVE-2021-26084’ü kullandıktan sonra, init.sh dosyasını 86.105.195[.]120’den indirir. Shell, aşağıdaki görevleri içeren bir kripto minerıdır:
- Sistem günlüğünü sil.
- Sık kullanılan komutu değiştir.
- Aliyun hizmetlerini ve apparmor‘u durdurun.
- miner execution file (zzh) ve kendisi için yolu ayarlayın, ancak newinit.sh olarak yeniden adlandırın.
- Diğer tüm miner süreçlerini bitir.
- Kalıcılık sağlamak için crontab kullanın.
- Tarama shell alın (is.sh).
- İzi temizle.
Tarama shelli, yayılmaya devam etmek için canlı ana bilgisayarı keşfetmek amacıyla IPv4 TCP ağını taramak ve araştırmak için kullanılabilecek Masscan, Pnscan, vb. gibi bir tarama aracı indirmeye çalışır.
Tarama için belirli adımları tanımlayan bir shell indirir. İndirici yolu aşağıda gösterilmiştir:
- İlk olarak, oturum açma brute force aracı hxx (md5: f0551696774f66ad3485445d9e3f7214) ve hesap/şifre listesi ps (md5: a43ad8a740081f0b5a89e219fe8475a3) alın,
- Özel ağa ait alt ağı subnet tarayın (172.16.0.0/12, 162.10.0.0). /8).
Bu, kötü amaçlı yazılımın mağdurun intranetinde daha fazla cihaza giriş yapmasına ve miner komut dosyasını (init.sh) yaymasına izin vermek için yapılan işlemlerdir.
Tüm iş akışı aşağıda gösterilmektedir:
Setag- Ayarlama
Aşağıdaki açıklardan yararlanma trafiği 86.105.195.154 (AS 3164 Astimp IT Solution SRL) IP adresinden gözlemlendi. BillGates veya Ganiw olarak da bilinen Setag, sunucuyu 1 günlük güvenlik açığıyla hedefleyen iyi bilinen bir kötü amaçlı yazılım ailesinin bir üyesidir. DoS saldırısını gerçekleştirmek için esas olarak UDP/SYN/ICMP/DNS akışları kullanır. Ama aynı zamanda hem kendi durumunu hem de mağdurlarını kontrol edebilen çeşitli komutlara sahiptir. Dos saldırısı veya kurbanlarını kontrol etme komutu aşağıdaki rawdatada incelenebilir:
Dosya Saldırısı
Gözlenen paket 141.98.83.139 (AS 209588 Flyservers S.A.) kaynaklıdır ve ana yükün kodu b64‘tür. Kodu çözülen veriler şekildeki gibidir:
Yüklemenin PowerShell üzerinden oluşturulup yürütüldüğü görülmektedir. Son yürütme, “WindowStyle“ı gizli olarak ve “CreateNoWindow“u True olarak ayarlayacaktır. Böylece kendisini saklayabilir. Ortadaki bu verilerin kodunu, {0} ve {1}’yi “=” ve “P” ardından İkinci katman payload verileri ile değiştirelim:
İki işlev ve main exploit kodunu içeren bir değişken tanımladı. Kodu $sG’ye dönüştürdükten sonra, belleğin bir bölümünü ayırmak için VirtualAlloc kullanılır. Daha sonra, kötü amaçlı kodu oluşturmak için CreateThread’i kullanır.
Öyleyse $sG nedir? B64 kod çözme işleminden sonra aşağıdaki gibi yaklaşık 570 bayt binary data elde ederiz:
Bu kodları dikkatlice incelemek için, bu binary dosyayı IDA tarafından kontrol etmeliyiz. loc_D6’ya yapılan ilk işlemin ardından ws2_32 koyar ve edx, 726774ch hareket eder ve bu LoadLibrary fonksiyonunun hash değeridir, detay kodu aşağıdaki gibidir:
Bu, 141.98.83[.]139 numaralı exploit kaynağına tcp portu 23733 üzerinden bağlanan bir reverse shell meterpreter shell kodudur. Port şu anda kapalı olduğundan, sadece aşağıdaki paketleri yakalamayı başardık. Ancak tüm saldırı süreci, yalnızca katman katman kodu çözmek için PowerShell’den yararlandı ve kendini gizlemek için gizli pencere stilini kullandı. Ve son olarak, reverse shell’e ulaşmak için bir konu oluşturun. Dosyasız saldırı olarak da bilinen saldırının arkasında tek bir dosya dahi bırakılmaz.
Muhstik
CVE-2021-26084’ü kullanarak, conf2’yi 149.28.85[.]17’den indirir. Dosya, dk86’yı 188.166.137[.]241 ve ldm komut dosyasından dağıtacak ve yürütecektir. Daha sonra saldırı senaryosu bu makalede analiz edilmiştir, ancak Muhstik’in conf2’sini yaymaya yönelik farklı bir sunucu IP’si ve daha fazla saldırı kaynağı IP’si araştırdık.
Çözüm
CVE-2021-26084 yayınlansa bile, halka açık saldırılar hala devam etmektedir. Bu gönderide, CVE-2021-26084 saldırıların ayrıntılarını verdik ve kötü amaçlı yazılım dağıtmak için yükü nasıl kullandıklarını gösterdik.
IOC
Value | Item |
86.105.195.154 | Cryptojacking expolit source IP address |
86.105.195.120 | Cryptojacking dropper hosting IP address |
911e417b9bc8689a3eed828f0b39f579 | hxxp://86.105.195.120/cleanfda/init.sh hxxp://86.105.195.120/cleanfda/newinit.sh |
75259ee2db52d038efea5f939f68f122 | hxxp://86.105.195.120/cleanfda/zzh |
4a7bf7f013cc2297d62627b2b78c5b0b | hxxp://86.105.195.120/cleanfda/is.sh |
8cc2b831e29dc9f4832a162e9f425649 | hxxp://86.105.195.120/cleanfda/rs.sh |
2.57.33.59 | Setag expolit source IP address |
209.141.50.210 | Setag dropper hosting IP address |
a8eb59396d698bda5840c8b73c34a03b | hxxp://209.141.50.210/syna |
141.98.83.139 | Fileless attack expolit source IP address |
1b8a7954b9630be2e0dd186a4fc6a32a | 2nd layer payload data |
bf8a7b199f3293852c7f2b3578e8c0ae | Binary shellcode |
98.239.93.20 87.106.194.46 51.75.195.137 34.247.148.227 121.196.25.170 221.168.37.77 122.9.48.250 18.182.153.49 | Muhstik exploit source IP address |
149.28.85.17 | Conf2 dropper hosting IP address |
6078c8a0c32f4e634f2952e3ebac2430 | hxxp://149.28.85.17/conf2 |
İlgili diğer yazılarımıza ulaşmak için tıklayabilirsiniz.