Threat Spotlight: Detaillierte Informationen zu einem Kryptominer-Angriff, der den Confluence-Bug ausnutzt
In dieser Fortsetzung unserer Recherche zu Angriffen, bei denen versucht wird, eine Zero-Day-Schwachstelle in Atlassian Confluence, CVE-2022-26134, auszunutzen, werfen wir einen genaueren Blick auf einen der Kryptominer, die in den Angriffs-Payloads vorkam.
Die ursprüngliche Angriffs-Payload ist:
Sie dekodiert wie folgt:
Der PowerShell-Teil dieses Befehls zeigt, dass dies speziell auf Windows-Systeme abzielt. Die weitere Entschlüsselung ergibt:
Wir konnten wi.txt und die darin verlinkten Konfigurations- und anderen Dateien herunterladen, die wir im Folgenden detailliert analysieren.
Detaillierte Analyse von XMRig-Kryptominern
Der erste Abschnitt von wi.txt ist im folgenden Screenshot zu sehen:
Zu Beginn sehen wir einen PowerShell-Befehl ähnlich der Payload mit einer Basis64-codierten Zeichenfolge und eine geplante Aufgabe mit einer Pastebin-URL.
Die Basis64-Zeichenfolge dekodiert einen PowerShell-Download und eine IEX-Anweisung, die eine Pastebin-URL enthält. Beide Pastebin-URLs haben keinen Inhalt – es werden keine Befehle oder ähnliche Aktivitäten ausgeführt. Wir gehen davon aus, dass diese URLs als eine Art Keepalive aufgerufen werden, um zu zeigen, wie oft „wi.txt“ ausgeführt wird – wi.txt ist der Dateiname für die ursprüngliche Payload. Basierend auf den Dateinamen für die Einträge – „wi_wmi“ und „wi_sch“ – erfüllen sie jeweils bestimmte Funktionen. Der erste zeigt an, dass die WMI-Befehle erfolgreich ausgeführt wurden, und der zweite, wie oft die geplante Task Aufgabe ausgeführt wird. Diese Zahlen dienen als Indikator dafür, wie viele Systeme erfolgreich infiziert wurden.
Darauf folgt eine umfassende Entfernung von Konkurrenten. Die Funktion „Killer“ führt mehrere Methoden auf, um konkurrierende, auf dem System laufende Miner zu identifizieren und zu entfernen. Sie sucht nach Minern basierend auf:
- Bekannten Servicenamen
- Bekannten Prozessnamen
- Allen bekannten geplanten Aufgaben, die von anderen Minern verwendet werden
- Identifiziert konkurrierende Miner anhand der Befehlszeilenargumente
- Verwendet netstat, um konkurrierende Miner anhand geöffneter Verbindungen zu identifizieren
Grundsätzlich ist ein sehr umfassender Blick auf das System erforderlich, um jegliche Konkurrenten zu beseitigen und die verfügbaren Ressourcen für die Mining-Operationen des Angreifers zu maximieren!
Danach gibt es einen Abschnitt, in dem das Skript einige andere Windows-Prozesse bereinigt. Eine interessante Sache hier ist das Entfernen eines Miner-Prozesses, der so eingerichtet wurde, dass er dauerhaft durch die Windows-Registrierung läuft:
Darauf folgt der letzte Abschnitt, in dem das Bereinigungsskript (clean.bat) ausgeführt wird, um Konkurrenten zu entfernen und den neuen Miner einzurichten:
Dies ist der eigentliche Ausführungsblock für das Skript. Hier sieht man den Download für die ausführbare XMRig-Mining-Datei und die dazugehörige Konfigurationsdatei.
Die Konfigurationsdatei richtet im Grunde den Miner ein, und darin ist der Mining-Pool, den Benutzernamen und das Passwort zu sehen:
Dieser Block erledigt eine Reihe von Aufgaben; er stellt unter anderem sicher, dass die Bereinigung ordnungsgemäß mit definierten Fehlerbedingungen durchgeführt wird, und überprüft, ob der Miner läuft.
Kurzum dient diese IP-Adresse diesem Miner seit geraumer Zeit und wurde bisher nicht entfernt. Es ist ein interessanter Blick auf einen gut durchdachten, gut geschriebenen Miner, der sicherstellt, dass er die maximalen Ressourcen auf dem infizierten System erhält und zum Profit des Angreifers bestehen bleibt. Wir haben zwar gesehen, dass diese Payload zur Ausnutzung der Atlassian-Schwachstelle eingesetzt wurde, es ist jedoch sehr wahrscheinlich, dass dieselbe Payload auch für andere Schwachstellen verwendet wurde und wird.
