Genel bakış
GiveWP WordPress eklentisindeki bir kod enjeksiyon açığı olan CVE-2024-5932’yi araştırırken ekibimiz siber güvenlik uzmanlarını hedef alan kötü amaçlı bir Kavram Kanıtı (POC) ile karşılaştı. Bu, kripto madenciliği, veri sızdırma ve arka kapı kurulumu gibi amaçlarına ulaşmak için tehdit aktörlerinin siber güvenlik uzmanlarına yönelik büyüyen bir tehdit haline geldi. Karşılaştığımız bir örneği inceledik ve bu soruna ilişkin farkındalığı artırmaya yardımcı olmak için paylaşmanın önemli olduğunu düşündük. Güvenlik araştırmacıları genellikle bu durumu ele almak ve tespit etmek için çok iyi donanımlı olsalar da, aşırı özgüvenli olmak ve bu da uzlaşmaya yol açmak kolaydır.
Güvenlik araştırmacılarının çeşitli görevlerini yerine getirmek için genellikle herkese açık POC’leri doğrulamaları gerekir ve GitHub bu tür POC’ler için bir merkezdir. GitHub’daki POC’ler, erişilebilirliklerinin kolaylığı ve web sitesinin itibarı nedeniyle yaygın olarak güvenilir kabul edilir. Savunmacılar bir betiği iyice incelemeden çalıştırmalı mıdır? Sonraki bölümler, araştırmacıların bu tür betikleri kullanırken neden ekstra dikkatli olmalarının kritik olduğunu açıklayacaktır. Bu blogda kullanılan belirli örnek için SonicWall, müşterilerimizin IPS’sinin korunmasını sağlamak için bir imza oluşturdu: 4496 XMRig Kripto Madencilik Etkinliği. Daha büyük tehdidin belirli bir örnek değil, güvenlik araştırmacılarını hedef almak için kullanılan teknik olduğunu fark etmek önemlidir.
Gerçek dünya örneğinin analizi
Başlangıçta, EQSTLab tarafından CVE-2024-5932 için yalnızca tek bir POC örneği vardı ve bu meşru bir örnekti. Ancak birkaç saat sonra, ilk bakışta orijinal deponun kopyaları gibi görünen birkaç benzer örnek ortaya çıktı. Bu depoların bağlantıları (şu anda kaldırılmış) aşağıdaki gibidir.
http[s]://github[.]com/niktoproject/CVE-2024-5932 (kötü amaçlı depo)
http[s]://github[.]com/sqlmap-projects/CVE-2024-5932 (kötü amaçlı depo)
Örneklerden birinin ekran görüntüsü Şekil 1’de görülebilir.
Şekil 1 Kötü amaçlı poc deposunun ekran görüntüsü
Bu tür durumlar alışılmadık olmasa da, meraktan bunları araştırmaya karar verdik. Şekil 2’de görüldüğü gibi, betiğe gizli bir kötü amaçlı kodun eklendiğini ortaya çıkardı.
Şekil 2 Poc betiğinden kötü kod
Bu kötü amaçlı kod, betik ilk kez kurban tarafından çalıştırıldığında yürütülür ve aşağıdaki görevleri gerçekleştirir.
- Belirtilen kötü amaçlı betiği depodan kopyalar (http[s]://github[.]com/niktoproject/c/blob/main/c[.]sh – kötü niyetli)Kripto madenciliği kodunu içeren.
- Komut dosyasını yürütülebilir hale getirir ve çalıştırır
- Betiği siler.
XMRig madencisini kullanarak Monero madenciliği yapan klonlanmış kötü amaçlı betik Şekil 3’te görülebilir.
Şekil 3 Kripto madenciliği kodu
Yukarıdaki kod aşağıdaki görevleri gerçekleştirir.
- Madenciyi indirir ve yürütülebilir dosyayı gizli bir dizine ve /home/ dizinindeki gizli bir dosyaya kaydeder
/.xconfig/.x yolu. - RAM ve CPU gibi makine kaynaklarının bilgilerini benzersiz bir tanımlayıcı olarak kullanmak üzere toplar.
- Madencilik sürecinin yeniden başlatmalar boyunca devam etmesini sağlamak için bir cronjob oluşturur.
- Şüpheleri ortadan kaldırmak için geçici dosyaları temizler.
- Madenciyi çalıştır.
Uzlaşma göstergeleri (IOC’ler)
Birisi (yanlışlıkla) kötü amaçlı betiği çalıştırdıysa, aşağıdaki göstergeler kullanılarak tespit edilebilir.
1. Şekil 4’te görüldüğü gibi, en fazla kaynağı tüketen “.x” adlı işlemi arayın.
Şekil 4 Kripto madenciliği süreci
2. Kötü amaçlı cronjob’un oluşturulup oluşturulmadığını görmek için cronjob listesini kontrol edin.
3.Şekil 5’te görüldüğü gibi, script’te belirtilen port üzerinden giden ağ bağlantılarını gözlemleyin.
Şekil 5 Madencilik süreciyle oluşturulan ağ bağlantısı
Madenciyi kaldırma adımları
Madenciyi kaldırmak için aşağıdaki adımlar takip edilebilir.
- Şekil 4’te gösterilen “.x” işlemini sonlandırın.
- Madenci yürütülebilir dosyasını /home/ dizininden silin
/.xconfig/.x - Cronjob’u kaldırın.
En iyi uygulamalar
Araştırmacıların güvenlik durumlarını iyileştirmelerine yardımcı olabilecek bazı yerleşik uygulamalar şunlardır.
- Araştırma veya iş yaparken her zaman izole sanal makineler ve ağlar kullanın.
- Çalıştırın ancak doğrulayın! Komut dosyalarını yalnızca iyice inceledikten sonra çalıştırın.
- Hiçbir zaman herhangi bir şeyi test etmek için ana makineyi kullanmayın.
- Şüpheli deponun “Sorunlar” bölümünü kontrol edin. Bazı iyi ruhlar muhtemelen kullanıcıları uyarmıştır.
Sosyal medyada işaretleme
Bazı araştırmacılar, aşağıdaki bağlantılarda görüldüğü üzere, bu konuyu sosyal medya platformu “X”te de işaretlediler.
https://x.com/win3zz/status/1828704644987511107
https://x.com/nav1n0x/status/1828715567785636112
Çözüm
Araştırmacıların şüphesiz kamuya açık POC’leri kullanmaları gerekecek olsa da, fidye yazılımı, veri sızdırma, sahtecilik ve botnet gibi vahim sonuçlardan ve ciddi saldırılardan kaçınmak için bunların uygulanması son derece dikkatli yapılmalıdır.
MITRE ATT&CK Haritalama
Şekil 6 MITRE ATT&CK eşlemesi
Reklam