吉沃运营专员 发表于 2021-12-27 17:05:13

攻击者是如何通过 Log4Shell 来启动挖矿程序

https://isc.sans.edu/diary/28172
在跟踪 Log4Shell 攻击我们蜜罐活动时,我碰到了另一个活动,试图在受害者机器上 "种植" 加密挖矿程序。我分析的上一个活动使用了一个简单的后利用 Powershell 脚本来下载和启动加密挖矿 xmrig 程序。新版本使用 .Net 启动器来下载、解密和执行二进制文件。

下图中的图表展示了此活动成功针对易受攻击的 Log4Shell 的过程,按照蓝色数字及其下面的说明进行操作。



1、攻击者通过 HTTP 请求向 Web 应用程序发送 JNDI 字符串作为 GET 参数和 user-agent 的 URL,这是一种临时攻击策略,试图在 Internet 上任何地方找到使用易受攻击的 Log4j 库记录 URL 或用户代理的应用程序,请求如下图所示:



2、应用程序向易受攻击的 Log4j (版本 < 2.17.0) 库发送要记录的数据,包括 JNDI 地址;

3、易受攻击的 Log4j 库在易受攻击的版本上允许通过 JNDI 检索变量,库会在要记录的数据上查找 "${jndi..." 地址,它将使用 LDAP/S、RMI、DNS 查找对象。查找将返回对远程类的引用,然后下载并执行该类。对于此活动,此类名为 "App.class",托管在 hxxp://185[.]18.52.155:8080/App.class 上;

4、"App.class" 是一个恶意 Payload,根据其运行的操作系统,将会下载并运行另外的 Payload,如下图所示,如果在 Linux 上,它将下载并运行 xmrig 二进制文件;如果在 Windows 上,它将使用 .Net 编写的 Launcher 工具来下载和执行 xmrig,如后续步骤所述;



5、Windows 版本的 Launcher 是用 .Net 编写的,分析其代码,可以看到下载和解密其他工件的函数,如下图所示:




为了避免不得不逆向解密函数并在下载的有效负载上使用它,我使用dnSpy工具调试代码,直到文件被解密并保存为止。

6、下载和解密的文件描述如下:

LC_KEY_L:解密 payload 的密钥;
LC_DATA1_L:xmrig 二进制文件;
LC_DATA2_L:WinRing0.sys (xmrig 的一部分);
LC_DLL_L:由 Launcher.exe 加载的 DLL,.Net 编写,并使用一个名为 Confuser 的保护器,这使得反编译和分析代码变得更加困难。通过静态分析代码,可以看到对 NetFwTypeLib (一个用于管理 Windows 防火墙的库) 的调用。

7、到目前为此,我们蜜罐能够识别出利用 Log4Shell 的几种不同类型的攻击,植入加密挖矿很普遍,但我们也看到有人尝试在 Linux 机器上部署 Dridex 银行木马和 Meterpreter;

IOCs (MD5/SHA256 hashes)

App.class

73e9a273f9a37962847eba40e3783070
81e09a20b16d4ac592181f1f371ad8d63df2b69993add7103eb18a0b8dcaf260

dll

6e2e4ce5a1254be6d3d9d06d2fa0f3b2
a3050186f14726ff45bbc391c9f6c344b6b01fb31ed03be651860523b52e5cb2   

launcher.exe

e74ec7381bf7020ec707bd722afe6d38
27a35a6b5b41701832d8a4975f888210ebb56b7986da74140448c80a11c215eb

data1 (xmrig)

c717c47941c150f867ce6a62ed0d2d35
e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

data2 (WinRing0.sys)

0c0195c48b6b8582fa6f6373032118da
11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5   

LAUNCH_L (xmrig)

1f776e609dcf28e1170a3167c30b0c6b
1430002479dc8822b5b677e7dc29dad9f9f8bfae2de5c31ebcc6fecbc028e8a2   

Network

148.251.165.82
185.18.52.155
hxxps://mail[.]techniservinc.com/resources/files/
页: [1]
查看完整版本: 攻击者是如何通过 Log4Shell 来启动挖矿程序