自从Palo Alto PAN-OS 漏洞被披露以来,研究人员发现攻击者正在将这一缺陷融入到他们的武器中。
CVE-2024-3400
2024 年4 月11 日,帕洛阿尔托宣布,基于PAN-OS 的产品中的一个零日漏洞被攻击者利用,安全公司Volexity 发现了该攻击。
该漏洞允许攻击者创建任意文件并以root 用户权限执行命令。具体来说,SESSID cookie 设置为特定值,PAN-OS 使用该值创建文件。因此,结合路径遍历技术,攻击者可以控制文件名和文件存储的目录。
Cookie: SESSID=/./././var/appweb/sslv-pndocs/global-protect/portal/images/poc.txt
此漏洞存在于某些版本的PAN-OS 的GlobalProtect 功能中。 Cloud NGFW、Panorama 设备和Prisma Access 不受此漏洞影响。
观察到的攻击
漏洞被披露后,通常会尝试许多非恶意攻击。特别是当存在公共POC 时,由于许多研究人员自己进行测试,攻击活动显着增加。根据研究人员的分析,大多数利用此漏洞的攻击都会尝试写入虚拟文件,但最近尝试通过各种IP 地址下载并运行bash 脚本的攻击有所增加。
典型的攻击
检查bash 脚本表明,攻击者识别了受害者的处理器架构并下载了相应的二进制文件。这种行为在构建专注于DDoS 和挖矿的僵尸网络中非常常见。
恶意bash 脚本
该恶意软件名为.redtail,与CSA 今年早些时候发布的恶意软件相同。 CSA 于2023 年12 月发现了该僵尸网络,并使用恶意软件的文件名将其命名为RedTail。业界还发现恶意软件通过Log4j的漏洞进行传播,然后挖掘门罗币。
挖掘加密货币
下载的恶意软件与CSA 发布的恶意软件类似,是包含UPX 的XMRig 挖矿程序的变种。
采矿计划
然而,与典型的僵尸网络不同的是,RedTail 将XMRig 代码嵌入到自己的恶意软件代码中,而不是通过网络请求检索挖矿程序配置信息。
攻击者修改了挖矿程序代码并对配置文件进行了加密。配置文件仅在XMRig 启动时解密。配置文件如下所示:
{
“自动保存”: 正确,
\’opencl\’: 假,
\’cuda\’: 假,
\’CPU\’: {
“启用”: 真,
\’huge-pages\’: 正确,
\’最大线程提示\’ : 95
},
\’随机x\’: {
\’模式\’: \’自动\’,
\’1gb-pages\’: 正确,
\’rdmsr\’: 假,
“wrmsr”: 正确
},
\’池\’: [
{
\’nicehash\’: 正确,
\’url\’:\’proxies.identitynetwork.top:2137\’
},
{
\’nicehash\’: 正确,
\’网址\’:\’193.222.96.163:2137\’
},
{
\’nicehash\’: 正确,
\’网址\’:\’185.216.70.138:2137\’
},
{
\’nicehash\’: 正确,
\’网址\’:\’78.153.140.51:2137\’
}
]
}
攻击者运营他们控制的矿池或矿池代理,并且不使用公共矿池。维护私人矿池或矿池代理会增加运营成本,但可以更轻松地控制采矿结果。
深入了解挖矿
攻击者尽可能优化了他们的挖矿操作,并使用了新的RandomX 算法。该算法可以利用NUMA节点来提高效率,当结合大规模页面配置变化时,可以提高性能1%到3%。
与2024 年初发布的RedTail 变种不同,该恶意软件使用更复杂的规避和持久性技术。它调试进程并阻止分析,终止检测到的GDB 进程,并通过cron 作业在系统重新启动后继续运行。
坚持
有针对性的攻击
纵观所有攻击,我们发现攻击者针对的是各种其他漏洞,包括2024 年初发布的Ivanti Connect Secure SSL-VPN CVE-2023-46805 和CVE-2024-21887。
CVE-2023-46805
CVE-2024-21887
何方神圣?
2024 年1 月,GreyNoise 观察到一个针对Ivanti SSL-VPN 漏洞的挖矿僵尸网络。但经过分析,分析人士确认该僵尸网络的攻击方式与GreyNoise披露的不同,且两个攻击者也不是同一个人。
其他漏洞
僵尸网络利用的其他漏洞包括:
TP-LINK CVE-2023-1389VMWare Workspace ONE 访问和身份管理器CVE-2022-22954ThinkPHP 文件包含和远程执行漏洞ThinkPHP 远程代码执行漏洞
CVE-2023-1389
ThinkPHP文件包含和远程执行漏洞
CVE-2018-20062
该恶意软件还包含许多不同的URL 嵌入字符串,这些字符串在运行时加密和解密存储。这些路径涵盖了PHPUnit 漏洞(CVE-2017-9841) 和各种CGI-Bin 远程代码执行漏洞,但这些漏洞均未被利用。
其他漏洞
漏洞利用趋势
跟踪数据表明,至少早在4 月21 日,攻击中就利用了PAN-OS 漏洞。
漏洞利用趋势
总结
RedTail 正在更新其在实现私人矿池隐形方面的进展,类似于Lazarus Group 的战略。 VulDB CTI 团队提到了一次针对PAN-OS 漏洞(CVE-2024-3400) 的实际攻击,该攻击可能与2024 年4 月13 日的Lazarus 活动有关。
IOC
92.118.39.120
193.222.96.163
79.110.62.25
34.127.194.11
192.18.157.251
68.170.165.36
94.74.75.19
193.222.96.163
94.156.79.60
94.156.79.129
185.216.70.138
78.153.140.51
代理.身份网络.顶部
参考来源
阿卡迈
#以上RedTail僵尸网络主动利用新漏洞发起攻击的相关内容来源仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91476.html