OzzTech - CVE-2021-26084 Olaylarına Genel Bakış

CVE-2021-26084 Olaylarına Genel Bakış

CVE-2021-26084

CVE-2021-26084 ve Tehdit sinyali

CVE-2021-26084 hakkında bir tehdit aktörünün yama uygulanmamış rastgele kod çalıştırabilen haberden sonra bir Tehdit Sinyali yayınladı. Öneriyi paylaştıktan sonra, halka açık bir şekilde çok sayıda tarama ve kavram kanıtı açıklarından yararlanma kodu ortaya çıkmaktadır.

CVE-2021-26084 Olaylarına Genel Bakış

Eylül ayında, bir kullanıcının ağına bir back-door veya miner yükleyecek kötü amaçlı bir yük indirebilen güvenlik açığı tespit edildi. Bu güvenlik açığını hedef alan çok sayıda tehdit aktörü olduğunu ve bunların arasında Cryptojacking, Setag backdoor, bir sistemde PowerShell'i kullanarak Shell'i dosya düşürmeden ve Muhstik botnet'i kullanan Fileless saldırısı gibi tehditler tespit edildi.

Bu güvenlik açığı için farklı saldırı vektörlerinden oluşuyor. Ancak, bu saldırıların tümü aşağıdaki paket yakalamada gösterilen “queryString” parametresini hedefliyor:

CVE-2021-26084

Kripto Hırsızlığı

CVE-2021-26084'ü kullandıktan sonra, init.sh dosyasını 86.105.195[.]120'den indirir. Shell, aşağıdaki görevleri içeren bir kripto minerıdır:

  1. Sistem günlüğünü sil.
  2. Sık kullanılan komutu değiştir.
  3. Aliyun hizmetlerini ve apparmor'u durdurun.
  4.  miner execution file (zzh) ve kendisi için yolu ayarlayın, ancak newinit.sh olarak yeniden adlandırın.
  5. Diğer tüm miner süreçlerini bitir.
  6. Kalıcılık sağlamak için crontab kullanın.
  7. Tarama shell alın (is.sh).
  8. İzi temizle.
CVE-2021-26084

Tarama shelli, yayılmaya devam etmek için canlı ana bilgisayarı keşfetmek amacıyla IPv4 TCP ağını taramak ve araştırmak için kullanılabilecek Masscan, Pnscan, vb. gibi bir tarama aracı indirmeye çalışır.

Tarama için belirli adımları tanımlayan bir shell indirir. İndirici yolu aşağıda gösterilmiştir:

  • İlk olarak, oturum açma brute force aracı hxx (md5: f0551696774f66ad3485445d9e3f7214) ve hesap/şifre listesi ps (md5: a43ad8a740081f0b5a89e219fe8475a3) alın,
  • Özel ağa ait alt ağı subnet tarayın (172.16.0.0/12, 162.10.0.0). /8).

Bu, kötü amaçlı yazılımın mağdurun intranetinde daha fazla cihaza giriş yapmasına ve miner komut dosyasını (init.sh) yaymasına izin vermek için yapılan işlemlerdir.

Tüm iş akışı aşağıda gösterilmektedir:

Setag- Ayarlama

Aşağıdaki açıklardan yararlanma trafiği 86.105.195.154 (AS 3164 Astimp IT Solution SRL) IP adresinden gözlemlendi. BillGates veya Ganiw olarak da bilinen Setag, sunucuyu 1 günlük güvenlik açığıyla hedefleyen iyi bilinen bir kötü amaçlı yazılım ailesinin bir üyesidir. DoS saldırısını gerçekleştirmek için esas olarak UDP/SYN/ICMP/DNS akışları kullanır. Ama aynı zamanda hem kendi durumunu hem de mağdurlarını kontrol edebilen çeşitli komutlara sahiptir. Dos saldırısı veya kurbanlarını kontrol etme komutu aşağıdaki rawdatada incelenebilir:

Dosya Saldırısı

Gözlenen paket 141.98.83.139 (AS 209588 Flyservers S.A.) kaynaklıdır ve ana yükün kodu b64'tür. Kodu çözülen veriler şekildeki gibidir:

Yüklemenin PowerShell üzerinden oluşturulup yürütüldüğü görülmektedir. Son yürütme, "WindowStyle"ı gizli olarak ve "CreateNoWindow"u True olarak ayarlayacaktır. Böylece kendisini saklayabilir. Ortadaki bu verilerin kodunu, {0} ve {1}'yi “=” ve “P” ardından İkinci katman payload verileri ile değiştirelim:

İki işlev ve main exploit kodunu içeren bir değişken tanımladı. Kodu $sG'ye dönüştürdükten sonra, belleğin bir bölümünü ayırmak için VirtualAlloc kullanılır. Daha sonra, kötü amaçlı kodu oluşturmak için CreateThread'i kullanır.

Öyleyse $sG nedir? B64 kod çözme işleminden sonra aşağıdaki gibi yaklaşık 570 bayt binary data elde ederiz:

Bu kodları dikkatlice incelemek için, bu binary dosyayı IDA tarafından kontrol etmeliyiz. loc_D6'ya yapılan ilk işlemin ardından ws2_32 koyar ve edx, 726774ch hareket eder ve bu LoadLibrary fonksiyonunun hash değeridir, detay kodu aşağıdaki gibidir:

Bu, 141.98.83[.]139 numaralı exploit kaynağına tcp portu 23733 üzerinden bağlanan bir reverse shell meterpreter shell kodudur. Port şu anda kapalı olduğundan, sadece aşağıdaki paketleri yakalamayı başardık. Ancak tüm saldırı süreci, yalnızca katman katman kodu çözmek için PowerShell'den yararlandı ve kendini gizlemek için gizli pencere stilini kullandı. Ve son olarak, reverse shell'e ulaşmak için bir konu oluşturun. Dosyasız saldırı olarak da bilinen saldırının arkasında tek bir dosya dahi bırakılmaz.

Muhstik

CVE-2021-26084'ü kullanarak, conf2'yi 149.28.85[.]17'den indirir. Dosya, dk86'yı 188.166.137[.]241 ve ldm komut dosyasından dağıtacak ve yürütecektir. Daha sonra saldırı senaryosu bu makalede analiz edilmiştir, ancak Muhstik'in conf2'sini yaymaya yönelik farklı bir sunucu IP'si ve daha fazla saldırı kaynağı IP'si araştırdık.

Çözüm

CVE-2021-26084 yayınlansa bile, halka açık saldırılar hala devam etmektedir. Bu gönderide, CVE-2021-26084 saldırıların ayrıntılarını verdik ve kötü amaçlı yazılım dağıtmak için yükü nasıl kullandıklarını gösterdik.

 IOC

ValueItem
86.105.195.154Cryptojacking expolit source IP address
86.105.195.120Cryptojacking dropper hosting IP address
911e417b9bc8689a3eed828f0b39f579hxxp://86.105.195.120/cleanfda/init.sh
hxxp://86.105.195.120/cleanfda/newinit.sh
75259ee2db52d038efea5f939f68f122hxxp://86.105.195.120/cleanfda/zzh
4a7bf7f013cc2297d62627b2b78c5b0bhxxp://86.105.195.120/cleanfda/is.sh
8cc2b831e29dc9f4832a162e9f425649hxxp://86.105.195.120/cleanfda/rs.sh
2.57.33.59Setag expolit source IP address
209.141.50.210Setag dropper hosting IP address
a8eb59396d698bda5840c8b73c34a03bhxxp://209.141.50.210/syna
141.98.83.139Fileless attack expolit source IP address
1b8a7954b9630be2e0dd186a4fc6a32a2nd layer payload data
bf8a7b199f3293852c7f2b3578e8c0aeBinary shellcode
98.239.93.20
87.106.194.46
51.75.195.137
34.247.148.227
121.196.25.170
221.168.37.77
122.9.48.250
18.182.153.49
Muhstik exploit source IP address
149.28.85.17Conf2 dropper hosting IP address
6078c8a0c32f4e634f2952e3ebac2430hxxp://149.28.85.17/conf2

İlgili diğer yazılarımıza ulaşmak için tıklayabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.