在網路安全領域,攻擊者會不斷求變,想盡各種方法透過新的漏洞獲取惡意收益。自從Palo Alto的PAN-OS CVE公共漏洞被披露以來,Akamai已經觀察到有惡意挖礦程式開始利用這個漏洞進行傳播和入侵。
在網路安全領域,攻擊者會不斷求變,想方設法透過新的漏洞獲取惡意收益。自從Palo Alto的PAN-OS CVE公共漏洞被披露以來,Akamai已經觀察到有惡意挖礦程式開始利用這個漏洞進行傳播和入侵。
RedTail是一種出現在2024年初的惡意挖礦程式,該程式在首次亮相後還在不斷完善,陸續增加了不少反偵察技術,最近更是開始利用Palo Alto的PAN-OS CVE-2024-3400漏洞。目前,該惡意軟體可透過至少六種網路漏洞傳播,可感染的目標包括物聯網設備(如TP-Link路由器)、網路應用程式(包括源自中國的內容管理系統ThinkPHP)、SSL-VPN以及Ivanti Connect Secure和Palo Alto GlobalProtect等安全設備。
根據Akamai的觀察,傳播該惡意程式這個變種的伺服器主要活躍在2024年4月初到2024年5月初這段時間裡,並且至少從4月21日開始,這個惡意軟體就已經在利用PAN-OS的CVE漏洞。
對於使用Akamai App & API Protector的客戶,只須將Web Platform Attack、Command Injection以及Local File Inclusion group action配置為「拒絕」,即可檢測並拒絕相關攻擊企圖,針對這個問題獲得更高程度的保護。以下簡要介紹Akamai的發現。
瞭解CVE-2024-3400
2024年4月11日,Palo Alto針對旗下基於PAN-OS的產品發布了一份零日漏洞公告。根據安全公司Volexity的分析,該漏洞已經開始被特定的攻擊者加以利用。
這個漏洞可供攻擊者創建一個任意檔,藉此最終獲得以root許可權執行命令的能力。具體來說,透過在SESSID Cookie中設置特定的值,攻擊者可以操作PAN-OS創建一個以該值命名的檔。當與路徑遍歷技術相結合後,這就使得攻擊者能夠控制檔案名及其存儲的目錄。
Cookie: SESSID=/../../../ var/appweb/sslvpndocs/ global-protect/portal/ images/poc.txt
該漏洞位於某些版本PAN-OS的GlobalProtect功能中。Cloud NGFW、Panorama設備和Prisma Access不受此漏洞影響。
觀察到的利用
當類似這樣的關鍵CVE被公布後,通常會看到大量相關活動,然而這些活動不一定是惡意的。特別是,如果有公開的漏洞概念驗證(PoC),研究人員和安防人員通常也會自己進行測試,導致相關活動顯著增加。
然而,根據Akamai的觀察,雖然在公司客戶的系統中,大多數試圖利用此CVE的嘗試是透過漏洞探測來寫入一個虛擬檔,但最近也觀察到,試圖真正執行命令的企圖開始增加,這些命令會從不同地理位置和不同公司託管的各種IP位址下載並運行一個bash腳本(圖1)。
圖1 試圖利用CVE-2024-3400並下載bash腳本的攻擊嘗試樣本。
檢查這個bash腳本後,很快地發現它在搜索受害者的處理器架構(ARM、x86或是x64),然後下載相應的可相容二進位檔案(圖2)。這種行為非常典型,直接體現了潛在的動機,因為絕大部分的分散式拒絕服務(DDoS)和惡意挖礦軟體都會這樣做。
圖2 作為攻擊先鋒的bash腳本會檢查受害者的處理器架構以下載可相容的二進位惡意軟體。
惡意軟體檔案名「.redtail」引起了Akamai的注意,因為它與網路安全協會(CSA)在2024年1月發布的惡意軟體分析報告中提到的名稱相同。這種惡意挖礦軟體在2023年12月就首次被CSA注意到了,當時被命名為「RedTail」,因為它的檔案名就是「.redtail」。 在那之後,還曾觀察到它濫用Log4j漏洞來運行和圖2類似的命令,藉此盜用受害者的算力挖掘門羅幣。有了前車之鑑,這次面對的是什麼就很清楚了吧!
盜挖加密貨幣
在對下載的二進位檔案進行逆向工程後,有關惡意挖礦程式的懷疑得到了證實。與CSA的描述類似,下載到的這個二進位檔案使用免費且開源的打包器UPX進行打包。一旦將其解包,從嵌入的字串就可以明顯看出它是XMRig的一個變種(圖3)。
圖3 嵌入惡意軟體的XMR字串。
然而,這個新惡意軟體變種有幾個重要區別。該惡意軟體沒有「聯繫老巢」來檢索挖礦配置。相反地,攻擊者將XMRig的代碼嵌入到自己的代碼中,並在這些代碼前後添加自己的邏輯。
不僅代碼內容有修改,其中還有一些明顯的新內容,尤其是與加密有關的配置。該挖礦程式自帶加密的挖礦配置資訊,這些資訊會在將控制權交給XMRig的代碼之前進行解密。透過分析挖礦程式執行後的記憶體資料,即可找到它運行時的挖礦配置,而無須進行漫長的逆向工程來解密,如圖4所示。
圖4 從記憶體中提取的挖礦程式配置資訊。
配置資訊中沒有列出錢包位址,這也與以前的變種有所不同。這表明攻擊者正在操作自己的礦池或礦池代理,而沒有使用公共礦池。這意味著攻擊者進行了一種更複雜的加密挖礦操作。儘管維護私人伺服器的操作和成本更高,但這樣可以讓攻擊者對挖礦結果有更大的控制權。
深入研究挖礦程式
透過上文獲得的配置資訊,還發現攻擊者正在盡可能地優化挖礦操作,這也意味著他們對加密挖礦有深刻的理解。他們使用了較新的RandomX演算法,該演算法可利用非一致性記憶體訪問(NUMA)節點來提高效率。此外,還使用了hugepages配置,根據XMRig文檔,這可以將性能提升1%到3%。
與2024年初報告的RedTail變種不同,本次的這個惡意軟體採用了先進的規避和持久隱蔽技術。它會對自身進行多次分叉,以透過調試自身進程來阻礙對自己進行的分析操作,並殺死自己發現的任何GDB實例。為了維持持久的隱蔽,該惡意軟體還添加一個cron作業,以在系統重啟後繼續運行(圖5)。
圖5 使用cronjob實現持久隱蔽性。
以更多CVE為目標
透過進一步深入分析,觀察提供新惡意軟體變種的同一台惡意伺服器所發起過的全部攻擊,發現該攻擊者還以其他CVE為目標,其中包括2024年初披露的Ivanti Connect Secure SSL-VPN CVE-2023-46805和CVE-2024-21887,如圖6、圖7所示。
圖6 RedTail攻擊者利用Ivanti Connect Secure SSL-VPN CVE-2023-46805。
圖7 RedTail攻擊者利用Ivanti Connect Secure SSL-VPN CVE-2024-21887。
到底是老對手還是新鮮人?
2024年1月,GrayNoise也觀察到一個挖礦團夥濫用Ivanti SSL-VPN CVE。觀察到的惡意軟體作案手法似乎與GrayNoise報導的略有不同,因此推測所討論的是不同的攻擊者。
其他被利用的漏洞
該惡意挖礦程式用來擴展自身網路的其他漏洞,還包括:
‧TP-Link路由器(圖8;CVE-2023-1389)
圖8 RedTail攻擊者利用TP-Link路由器(CVE-2023-1389)。
‧VMWare Workspace ONE Access和Identity Manager(CVE-2022-22954)
‧透過pearcmd進行的ThinkPHP檔包含和遠端代碼執行(圖9;2022年披露,無CVE)
圖9 RedTail攻擊者透過pearcmd利用ThinkPHP檔包含。
‧ThinkPHP遠端代碼執行(圖10;CVE-2018-20062)
圖10 RedTail攻擊者利用ThinkPHP遠端代碼執行(CVE-2018-20062)。
該惡意軟體還包含許多帶有不同URL的嵌入字串,這些字串會被加密後儲存並在執行過程中解密。這些字串的路徑對應於PHPUnit漏洞(CVE-2017-9841)和各種CGI-Bin遠端代碼執行變體(圖11)。有趣的是,在此次活動中沒有看到這些漏洞被利用。目前尚不清楚最終目標是什麼:透過這些漏洞自我傳播?本地提權?
圖11 捕獲到的可交付RedTail新惡意軟體變體的其他漏洞資料。
這次終於放過了Log4Shell漏洞?
令人驚訝的是,與去年底報告的攻擊不同,在此次的一系列活動中沒有觀察到任何對Log4Shell漏洞的利用。
觀察到的漏洞利用時間線
本次觀察到的,涉及特定惡意軟體伺服器的整體活動的時間範圍從2024年4月初到2024年5月初,並且至少從4月21日起就開始採用PAN-OS CVE(圖12)。
圖12 在Akamai平台上觀察到的漏洞利用時間線。
使用Akamai App & API Protector進行緩解
鑑於Palo Alto設備對於一些客戶來說是敏感且關鍵的元件,因此這類系統在大家的IT環境中應該很醒目,並且預計已經被修補過了。 Akamai App & API Protector以及該解決方案內置的自我調整安全引擎也能檢測並阻止上文所涉及的全部RedTail傳播方式,因此可以作為額外的防護部署。只須將Web Platform Attack、Command Injection以及Local File Inclusion group action配置為「拒絕」,即可檢測並拒絕相關攻擊企圖,針對這個問題獲得更高程度的保護,如圖13所示。
圖13 相關的自我調整安全引擎配置攻擊組。
或者,也可以選擇將以下個別規則設置為「拒絕」:
‧3000939 — Palo Alto OS Cookie Path Traversal Detected (CVE-2024-3400)
‧950204 — Local File Inclusion (LFI) Attack (Directory Traversal and Obfuscation Attempts)
‧3000122 — Local File Inclusion (LFI) Attack (Long Directory Traversal)
‧30000154 — CMD Injection Attack Detected (Common PHP Function Detected)
‧3000013 — System Command Injection (Attacker Toolset Download)
結語
知名的惡意挖礦軟體有不少,但如此精緻的可真不常見。RedTail惡意軟體的這個變種透過使用私人礦池來更好地控制和保護操作,這在人員、基礎設施等各方面都需要大量投入,很難想像會是個人或小規模團體「單打獨鬥」的產物。
儘管有人可能認為,利用SSL-VPN和安全設備漏洞(特別是PAN-OS (CVE-2024-3400)和Ivanti Connect Secure (CVE-2023-46805以及CVE-2024-21887))的攻擊者主要專注於入侵企業內網,但這些漏洞也可以被攻擊者提供額外收入來源。這一切更加突顯了更新修補程式和安全措施的重要性。
<本文作者:王明輝現為Akamai大中華區資深技術顧問>