Confluence Zero Day

Threat Spotlight: Fortgesetzte Angriffe auf Atlassian Confluence Zero Day

Druckfreundlich, PDF & E-Mail

Am 2. Juni 2022 führte Volexity eine koordinierte Offenlegung eines Under-Exploit Zero Day in Atlassian Confluence, CVE-2022-26134, durch. Seit der ursprünglichen Enthüllung und der anschließenden Veröffentlichung verschiedener Machbarkeitsnachweise haben die Experten von Barracuda eine große Anzahl von Versuchen entdeckt, diese Schwachstelle auszunutzen. Die Exploit-Versuche reichen von harmlosen Aufklärungsversuchen bis hin zu einigen relativ komplexen Versuchen, Systeme mit DDoS-Botnet-Malware und Kryptominern zu infizieren.

Als wir im Juni erstmals über diese Bedrohung berichteten, stellten die Experten von Barracuda einen stetigen Strom von Angriffen fest, die diese Schwachstelle auszunutzen versuchten, darunter mehrere signifikante Ausschläge. Unsere Forscher haben diese Angriffe weiter beobachtet, und dieses Muster hat sich fortgesetzt, wobei das Gesamtvolumen im August nur leicht zurückgegangen ist. Angreifer haben offensichtlich nicht aufgegeben, diese Schwachstelle auszunutzen.

Confluence-Schwachstelle

Im ersten Threat Spotlight haben wir uns einige der gelieferten Payloads und die Quellen der Angriffe angesehen. In diesem daran anschließenden Threat Spotlight betrachten wir einige der von bösartigen Akteuren gelieferten Payloads, die versuchen, CVE-2022-26134 auszunutzen.

Beispiele für Payload

Schauen wir uns zunächst einen Versuch an, die Gafgyt DDoS-Botnet-Malware einzuschleusen.

Beispiel 1: DDoS-Botnet-Malware

Dies ist der Host, der die gesamte Gafgyt DDoS-Botnet-Malware für verschiedene Betriebssysteme und Architekturen anzeigt.

Hier ist die Payload, wie sie eingeschleust wurde:

Confluence-Exploit

Sie dekodiert wie folgt:

Confluence-Exploit

Die IP-Adresse in dieser Payload liefert ein Shell-Skript, das ausgeführt und dann gelöscht wird. Wenn man zur IP-Adresse navigiert, findet man ein offenes Verzeichnis mit einer Reihe von ausführbaren Dateien, von denen jede anscheinend für einen anderen Typ von Betriebssystem/Architektur bestimmt ist.

Shell-Skript
Dieser Screenshot zeigt das in der Payload gelieferte Shell-Skript.

Wenn wir das Shell-Skript öffnen, können wir sehen, dass es diese ausführbaren Dateien herunterlädt und sie dann auf dem System ausführt, auf dem es läuft.

Der Angreifer versucht im Wesentlichen, ein Botnet-Mitglied auf jedem System zu erstellen, das infiziert werden kann. Je nach Betriebssystem/Architektur des infizierten Systems läuft eine dieser ausführbaren Dateien und das System wird letztendlich Teil des Botnets. Gafgyt hat dies bereits in der Vergangenheit bei anderen Schwachstellen getan, und dies setzt sich nun auch bei dieser Schwachstelle fort.

Die fragliche IP hat diese Malware-Downloads schon seit einiger Zeit im Dienst – und wurde in der URLhaus-Datenbank von abuse.ch dokumentiert. Wie es aussieht, stammen die frühesten Einsendungen von Ende Mai dieses Jahres. Der Host war zum Zeitpunkt der Erstellung dieses Artikels noch nicht abgeschaltet worden.

URLhaus
Dies ist der URLhaus-Eintrag für die Gafgyt Botnet-Malware.

Beispiel 2: Monero-Kryptominer

Schauen wir uns zunächst einen Monero-Kryptominer an, der versucht, eine Windows-basierte Installation zu infizieren:

Kryptominer

Die Payload verwendet PowerShell, um ein Base64-codiertes Skript auszuführen, das folgendermaßen dekodiert:

Confluence-Payload

Wir haben die Datei (kill.bat) heruntergeladen, siehe Screenshot unten:

Confluence-Exploit

Es handelt sich hierbei um ein PowerShell-basiertes Skript, das mit der Deaktivierung der Windows Defender-Echtzeitüberwachung beginnt und dann eine Reihe von Diensten vernichtet. Nach Entfernen dieser Services wird überprüft, ob bereits eine Monero Miner-Instanz ausgeführt wird. Ist dies der Fall, vernichtet das Skript die vorhandene Instanz, um Ressourcen auf dem infizierten Host zu maximieren. Sobald dies erledigt ist, wird eine Datei mit dem Namen „mad.bat“ heruntergeladen. Unten wird ein abgeschnittener Screenshot angezeigt:

Confluence-Exploit

Mad.bat installiert den eigentlichen Miner und die dafür benötigte zusätzliche Software, einschließlich 7zip zum Entpacken der Mining-Software.

Beispiel 3: Doppelt kodierter Kryptominer

Another interesting cryptominer payload is the following example, where the payload has been double encoded:
Confluence-PayloadIt decodes to:

Beispiel für Confluence-Exploit

Und dann weiter:

Confluence-Schwachstelle

Die eigentliche Payload wurde zwar entfernt und steht nicht mehr zur Analyse zur Verfügung, aber ein Blick auf URLhaus und VirusTotal zeigt, dass es sich offenbar um einen Kryptominer handelt, der speziell auf Linux-Systeme abzielt. Aus anderen Diskussionen im Internet geht hervor, dass das Argument „?load“ von Angriff zu Angriff variiert; einige andere Varianten sind „?c4k“ und „?c5k“. Die Argumente scheinen intern von der eigentlichen Binärdatei und für die Verbindung mit bestimmten Mining-Diensten verwendet zu werden.

Dieselbe IP diente auch einer Windows-Variante, wie in der folgenden Payload:

Confluence-Exploit Windows

Sie dekodiert wie folgt:

Confluence-Windows-Exploit

Auch hier ist die Payload nicht mehr verfügbar, daher ist das Folgende eine Spekulation auf der Grundlage der IP-Adresse und des Dateinamens. Sie ähnelt möglicherweise der Linux-Variante und lädt vielleicht den eigentlichen Kryptominer herunter. Das „lol“ im Dateinamen könnte sich auf die Angriffstechnik „living off the land“ beziehen, bei der die Malware vorhandene Tools des Betriebssystems nutzt, um ihre Aktionen auszuführen und so die Wahrscheinlichkeit zu verringern, dass sie von einem auf dem Betriebssystem laufenden Antivirusprogramm als Malware erkannt wird.

In unserem nächsten und letzten Teil dieses Threat Spotlights werden wir einen weiteren Kryptominer genauer unter die Lupe nehmen, der bei Exploit-Versuchen für diese Schwachstelle gefunden wurde. Dieser ist etwas interessanter, und wir konnten die gesamte Payload für eine detaillierte Analyse abrufen.

Schützen Sie Ihre Anwendungen mit einer einfachen Plattform.

Nach oben scrollen
Twittern
Teilen
Teilen