Site Logo

Threat Spotlight: Fortgesetzte Angriffe auf Atlassian Confluence Zero Day

Themen:
28. Sep.. 2022
|
Tushar Richabadas

Am 2. Juni 2022 führte Volexity eine koordinierte Offenlegung eines Under-Exploit Zero Day in Atlassian Confluence, CVE-2022-26134, durch. Seit der ursprünglichen Enthüllung und der anschließenden Veröffentlichung verschiedener Machbarkeitsnachweise haben die Experten von Barracuda eine große Anzahl von Versuchen entdeckt, diese Schwachstelle auszunutzen. Die Exploit-Versuche reichen von harmlosen Aufklärungsversuchen bis hin zu einigen relativ komplexen Versuchen, Systeme mit DDoS-Botnet-Malware und Kryptominern zu infizieren.

Als wir im Juni erstmals über diese Bedrohung berichteten, stellten die Experten von Barracuda einen stetigen Strom von Angriffen fest, die diese Schwachstelle auszunutzen versuchten, darunter mehrere signifikante Ausschläge. Unsere Forscher haben diese Angriffe weiter beobachtet, und dieses Muster hat sich fortgesetzt, wobei das Gesamtvolumen im August nur leicht zurückgegangen ist. Angreifer haben offensichtlich nicht aufgegeben, diese Schwachstelle auszunutzen.





Im ersten Threat Spotlight haben wir uns einige der gelieferten Payloads und die Quellen der Angriffe angesehen. In diesem daran anschließenden Threat Spotlight betrachten wir einige der von bösartigen Akteuren gelieferten Payloads, die versuchen, CVE-2022-26134 auszunutzen.

Beispiele für Payload

Schauen wir uns zunächst einen Versuch an, die Gafgyt DDoS-Botnet-Malware einzuschleusen.

Beispiel 1: DDoS-Botnet-Malware

Dies ist der Host, der die gesamte Gafgyt DDoS-Botnet-Malware für verschiedene Betriebssysteme und Architekturen anzeigt.

Hier ist die Payload, wie sie eingeschleust wurde:

Sie dekodiert wie folgt:

Die IP-Adresse in dieser Payload liefert ein Shell-Skript, das ausgeführt und dann gelöscht wird. Wenn man zur IP-Adresse navigiert, findet man ein offenes Verzeichnis mit einer Reihe von ausführbaren Dateien, von denen jede anscheinend für einen anderen Typ von Betriebssystem/Architektur bestimmt ist.


Dieser Screenshot zeigt das in der Payload gelieferte Shell-Skript.


Wenn wir das Shell-Skript öffnen, können wir sehen, dass es diese ausführbaren Dateien herunterlädt und sie dann auf dem System ausführt, auf dem es läuft.

Der Angreifer versucht im Wesentlichen, ein Botnet-Mitglied auf jedem System zu erstellen, das infiziert werden kann. Je nach Betriebssystem/Architektur des infizierten Systems läuft eine dieser ausführbaren Dateien und das System wird letztendlich Teil des Botnets. Gafgyt hat dies bereits in der Vergangenheit bei anderen Schwachstellen getan, und dies setzt sich nun auch bei dieser Schwachstelle fort.

Die fragliche IP hat diese Malware-Downloads schon seit einiger Zeit im Dienst – und wurde in der URLhaus-Datenbank von abuse.ch dokumentiert. Wie es aussieht, stammen die frühesten Einsendungen von Ende Mai dieses Jahres. Der Host war zum Zeitpunkt der Erstellung dieses Artikels noch nicht abgeschaltet worden.

Dies ist der URLhaus-Eintrag für die Gafgyt Botnet-Malware.


Beispiel 2: Monero-Kryptominer

Schauen wir uns zunächst einen Monero-Kryptominer an, der versucht, eine Windows-basierte Installation zu infizieren:

 

Die Payload verwendet PowerShell, um ein Base64-codiertes Skript auszuführen, das folgendermaßen dekodiert:

 

 

Wir haben die Datei (kill.bat) heruntergeladen, siehe Screenshot unten:

 

 

Es handelt sich hierbei um ein PowerShell-basiertes Skript, das mit der Deaktivierung der Windows Defender-Echtzeitüberwachung beginnt und dann eine Reihe von Diensten vernichtet. Nach Entfernen dieser Services wird überprüft, ob bereits eine Monero Miner-Instanz ausgeführt wird. Ist dies der Fall, vernichtet das Skript die vorhandene Instanz, um Ressourcen auf dem infizierten Host zu maximieren. Sobald dies erledigt ist, wird eine Datei mit dem Namen „mad.bat“ heruntergeladen. Unten wird ein abgeschnittener Screenshot angezeigt:

 

Mad.bat installiert den eigentlichen Miner und die dafür benötigte zusätzliche Software, einschließlich 7zip zum Entpacken der Mining-Software.

 

Beispiel 3: Doppelt kodierter Kryptominer

 

Eine weitere interessante Kryptominer-Payload ist das folgende Beispiel, bei dem die Payload doppelt kodiert wurde:

 

Sie dekodiert wie folgt:

Und dann weiter:

Die eigentliche Payload wurde zwar entfernt und steht nicht mehr zur Analyse zur Verfügung, aber ein Blick auf URLhaus und VirusTotal zeigt, dass es sich offenbar um einen Kryptominer handelt, der speziell auf Linux-Systeme abzielt. Aus anderen Diskussionen im Internet geht hervor, dass das Argument „?load“ von Angriff zu Angriff variiert; einige andere Varianten sind „?c4k“ und „?c5k“. Die Argumente scheinen intern von der eigentlichen Binärdatei und für die Verbindung mit bestimmten Mining-Diensten verwendet zu werden.

Dieselbe IP diente auch einer Windows-Variante, wie in der folgenden Payload:

Sie dekodiert wie folgt:

Auch hier ist die Payload nicht mehr verfügbar, daher ist das Folgende eine Spekulation auf der Grundlage der IP-Adresse und des Dateinamens. Sie ähnelt möglicherweise der Linux-Variante und lädt vielleicht den eigentlichen Kryptominer herunter. Das „lol“ im Dateinamen könnte sich auf die Angriffstechnik „living off the land“ beziehen, bei der die Malware vorhandene Tools des Betriebssystems nutzt, um ihre Aktionen auszuführen und so die Wahrscheinlichkeit zu verringern, dass sie von einem auf dem Betriebssystem laufenden Antivirusprogramm als Malware erkannt wird.

In unserem nächsten und letzten Teil dieses Threat Spotlights werden wir einen weiteren Kryptominer genauer unter die Lupe nehmen, der bei Exploit-Versuchen für diese Schwachstelle gefunden wurde. Dieser ist etwas interessanter, und wir konnten die gesamte Payload für eine detaillierte Analyse abrufen.



Schützen Sie Ihre Apps mit einer einfachen Plattform


Tushar Richabadas

Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.

Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
E-Book: Das neue ABC der Anwendungssicherheit
E-Book: Das neue ABC der Anwendungssicherheit
 Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
Verstehen der kommenden Trends in der Anwendungssicherheit und der neuen OWASP Top 10
 The alphabet soup of cloud protection
The alphabet soup of cloud protection
 Secured.21: Bedrohungstrends und die Zukunft der Anwendungssicherheit
Secured.21: Bedrohungstrends und die Zukunft der Anwendungssicherheit