نفوذ به وب سرور آپاچی برای انتقال بدافزار استخراج رمزارز
پژوهشگران امنیتی در Sophos اخیرا روش حمله جدیدی را مشاهده کردهاند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار استخراج رمز ارز به سرور قربانی بوده است.
به گزارش لابراتوار امنیتی Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژههایی که به راحتی قابل حدس زدن هستند یا گذرواژههای ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهرهبرداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال میکنند. درخواست POST به صفحه ادمین Tomcat انجام میشود که این صفحه دارای قابلیت بارگذاری برنامههای وب به سرور است. این برنامهها در قالب فایلهایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال میکند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راهاندازی کاوشگر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف میکند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%System۳۲WindowsPowerShellv۱.۰PowerShell.exe را بررسی میکند که مهاجم از آن برای اجرای اسکریپت استفاده میکند. در صورت عدم وجود این فایل، از فایل RegSvr۳۲.exe استفاده میشود.
اسکریپتهای مخرب مهاجم که بصورت زنجیرهای اجرا میشوند، در نهایت منجر به انتقال یک payload به نام Neutrino میشوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش میکند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی میشوند که در صورت وجود متوقف شوند. Payload اصلی کاوشگر در مرحله آخر منتقل میشود و با استفاده از منابع سرور، به استخراج رمز ارز میپردازد.
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژههای قوی و مناسب، میتوان از این نوع حمله جلوگیری کرد.
نشانههای آلودگی (IoC):
دامنهها و آدرس IP:
• ۱۳۴,۱۷۵.۳۳.۷۱
• xmr.usa-۱۳۸.com
• wk.ctosus.ru
• down.ctosus.ru
• blog.ctoscn.ru
• down,۹ni.top
• down.sxly۵۱۸.xyz
• gowel.top
• m۴.rui۲.net
URLها:
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/PSN/_DL.ps۱
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴.bin
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴_VMP.bin
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶.bin
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶_VMP.bin
• hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/_WMI.ps۱
هش فایل DL.php:
• ۲F۹۰۸ECDC۲۰۹۲۳D۷۰۳F۰۵DA۶EEDE۷۶EB۱۴DCA۲۹۶