WordPress: Mengesan Ancaman Cryptomining yang Muncul

Ini adalah jawatan yang ditulis oleh James Yokobosky yang bekerja pada pasukan Intelligence Threat Defiant . Dalam tugas hariannya, dia menganalisis ancaman WordPress baru ketika mereka muncul dan menambahkan keupayaan pengesanan pada pengimbas malware Wordfence . Sebagai tambahan untuk memastikan kami mengesan malware baru, James juga meneliti kepingan malware yang kami temukan untuk mengetahui lebih lanjut tentang cara mereka bekerja, apa yang mereka lakukan dan siapa yang berada di belakang setiap kempen.

Jawatan ini akan memberi gambaran tentang aliran kerja seperti salah satu daripada Analis Ancaman kami di Defiant dan akan memberi anda sedikit pemahaman mengenai varian malware yang sedang muncul yang kita lihat sasaran WordPress, bagaimana mereka berfungsi dan apa yang mereka lakukan.

Dalam jawatan ini, James menggambarkan analisisnya terhadap penambang cryptocurrency Monero yang baru-baru ini diperiksa, dan menerangkan bagaimana dia dikesan dan disampaikan dengan arahan dan kawalan infrastruktur untuk varian malware ini. Jawatan ini memberikan ilustrasi yang jelas tentang bagaimana kami dengan cepat menambah keupayaan pengesanan ke pengimbas malware Wordfence untuk ancaman yang muncul.

Malware Segar Tiba untuk Analisis

Salah satu daripada sumber data ancaman kami di Defiant adalah membersihkan laman web yang digodam. Dalam kes ini, Ivan, ahli pasukan SST kami telah membersihkan tapak yang digodam dan menyerahkan data forensik untuk analisis. Laman web telah diretas selama beberapa bulan sebelum pemilik mendapati bahawa ia telah dikompromikan.

Rutin normal saya adalah untuk memulakan dengan mengesahkan fail yang kita sudah mengesan untuk memeriksa sama ada terdapat sebarang maklumat baru di dalam mana-mana. Biasanya tidak ada, dan jangkitan ini tidak menghasilkan apa-apa kejutan dalam fail yang telah dikesan oleh Wordfence.

Apa yang mengejutkan saya ialah pelayan mempunyai sejumlah besar fail berniat jahat yang tidak pernah kita lihat sebelumnya. Pelayan telah dijangkiti untuk masa yang lama, yang mungkin telah meninggalkan penyerang merasa cukup yakin untuk meng-upload kod yang lebih berharga. Bagi kami, pelayan dengan kod yang kami belum lihat sebelum ini adalah harta karun, kerana ia segera membolehkan kami menambah keupayaan pengesanan baru kepada pengimbas malware Wordfence. Sekiranya penyerang ditangkap dalam keadaan ini, mereka biasanya mempunyai hari yang buruk, kerana kebanyakan fail mereka yang sebelum ini tidak dapat dikesan oleh pengimbas malware kini akan dikesan oleh imbasan kami.

Perkara pertama yang menjadikan penyerang ini berbeza dari yang lain adalah bahawa, bukannya menggunakan obfuscator kod standard javascript yang hanya merompak kod tersebut, mereka menggunakan wordlist terhingga untuk menggantikan nama variabel dan fungsi dalam kod. Apabila anda melihat kod tersebut, nama pembolehubah dan fungsi hanya kelihatan seperti halus:

fungsi selesema (sake, immobilitys)
    {
        rantai = kemas / seehis;
        merancang = menyiarkan / bertuah;
        ribut = segera + rendah;
        tetamu = tenang - lucie;
    }

Saya segera mencari fail lain yang lain daripada sampel yang lain dan mendapati beberapa, kemudian menulis tandatangan baru untuk mengesan fail tersebut. Yang berjaya, saya berpindah ke fail seterusnya dalam senarai. Itu adalah fail PHP asas yang secara selektif mengalihkan pengguna tetap, bukan enjin carian, ke laman web yang berniat jahat. Ini adalah perkara biasa yang kita lihat, jadi saya menulis tandatangan untuk mengesan variasi malware ini dan pindah.

Biner Cryptomining Ditemui

Fail ketiga adalah lebih menarik. Ia merupakan objek bersama LSB ELF 64-bit, x86-64, berkaitan secara dinamik dan dilupuskan. Ia adalah fail yang disusun yang direka untuk menjalankan sistem Linux dengan seni bina tertentu, yang mempunyai data debugging bermakna. Ia sama dengan fail Windows .exe. Ini jarang berlaku untuk dijangkiti pada jangkitan WordPress kerana kebanyakan pelayan web tidak ditubuhkan untuk membolehkan executable sewenang-wenang dijalankan, dan untuk ini berfungsi, penyerang perlu melakukan lebih banyak pekerjaan pada akhirnya.

Oleh kerana kita sudah mengetahui fail misteri ini melakukan sesuatu yang berniat jahat, langkah pertama yang baik adalah untuk melihat apakah perisian antivirus lain telah mengenalinya. VirusTotal adalah cara piawai industri untuk mencapai ini, dan pasti segelintir vendor yang disokong mengesan dan mengenal pasti fail .

Nama-nama VirusTotal dikembalikan memberikan sedikit gambaran mengenai apa file tersebut:

  • Misc.Riskware.BitCoinMiner.Linux,
  • LINUX / BitCoinMiner.dbwhf,
  • bukan-virus: HEUR: RiskTool.AndroidOS.Miner.b,

dan sama mencadangkan ini adalah penambang cryptocurrency. Pada ketika ini saya melakukan pemeriksaan sepintas lalu dari fail binari untuk mencari rentetan plaintext atau pembongkaran yang dikenali dan cepat mengenal pasti pembentukan tertentu: Ini adalah xmrig kebanyakan saham ( https://github.com/xmrig/xmrig ) Miner yang berpusat di Monero, terkenal dalam komuniti itu. Artefak lain di dalam fail membenarkan saya mengesahkan ia disusun pada 2018-01-16 dengan versi GCC moden.

Saya dapat tahu ada beberapa pengubahsuaian dari kod sumber asal. Melihat dengan cepat mendedahkan bahawa perubahan adalah hardcoding alamat untuk menghantar keputusan – alamat kolam – jadi sesiapa yang menjalankan fail tertentu ini akan menghantar wang kepada penyerang. Pada ketika ini saya mempunyai lebih banyak maklumat untuk menulis tandatangan yang boleh dipercayai untuk mengesan malware ini, dan saya dengan cepat melakukannya. Kami mempunyai lebih banyak sampel dan saya masih belum tahu bagaimana penyerang berjalan dan menguruskan pelombong zombie yang digodam,

Menganalisis Fail Konfigurasi

Fail unik seterusnya menunjukkan satu lagi kecanggihan teknikal yang luar biasa dari penyerang "purata" WordPress: Konfigurasi berasingan! Setelah melihat xmrig, mudah untuk memberitahu fail JSON ini mengandungi petunjuk cara untuk menjalankan perlombongan yang dapat dilaksanakan.

Ia termasuk arahan untuk berjalan di latar belakang (tersembunyi), menggunakan hanya 40% daripada CPU maksimum yang tersedia, untuk melambatkan jika mesin itu sibuk, dan butiran teknikal khusus lain yang berkaitan dengan proses perlombongan. Nasib baik bagi kami biasanya merupakan idea yang mengerikan untuk menjalankan cryptominers di pelayan web WordPress anda jika anda adalah orang yang membayar untuk itu, jadi saya dengan selamat boleh menambah tandatangan untuk mengenal pasti kod konfigurasi yang tidak berbahaya ini tanpa membuat kesan palsu.

Menemukan Perintah Perintah dan Kawalan

Dengan sampel seterusnya kami memukul jackpot. Ia adalah skrip backdoor Python yang, semasa berjalan, akan memeriksa arahan baru terhadap arahan berpusat dan kawalan pelayan setiap 5 minit. Pintu belakang itu sendiri ditulis untuk disembunyikan daripada pentadbir sistem. Ia menyamar sebagai php-fpm ( https://php-fpm.org ) yang merupakan proses biasa yang dijalankan di pelayan itu, dan ia "berperilaku baik". Ini bermakna, ia duduk diam-diam dan kebanyakan masa tidak melakukan apa-apa yang luar biasa atau jahat.

Dibina ke dalam backdoor adalah fungsi laporan, digunakan untuk memberikan data penyerang tentang mesin hack dan kemas kini status pada sebarang aktiviti, dan pelbagai tugas pentadbiran sistem biasa yang berkaitan dengan memuat turun fail, mengawal proses, dan melaksanakan perintah. Kod ini terbentuk dengan baik dan mempunyai kemas kini dan penyesuaian yang nyata, menyiratkan penyerang telah membangun dan menggunakan backdoor ini untuk beberapa waktu. Kaedah bersembunyi dan selang untuk memeriksa arahan baru mudah dikonfigurasikan untuk mengelakkan sistem pengesanan pencerobohan dan firewall.

Yang paling penting, alamat IP dan kaedah komunikasi pelayan arahan dan kawalan kini tersedia kepada kami. Saya memeriksa bahawa ia masih "naik" – dalam talian dan memberi respons kepada permintaan – dan meletakkan pin di dalamnya. Mula-mula saya perlu mengembangkan tanda tangan supaya Wordfence mengesan pintu belakang ini, kemudian saya memeriksa sampel-sampel yang tersisa untuk lebih banyak petunjuk mengenai penyerang sebelum saya mengambil risiko untuk mendedahkan diri saya sebagai menyusup botnetnya .

Hanya satu daripada sampel lain yang perlu diperhatikan dan berkaitan dengan pintu belakang. Ia adalah skrip Bash pendek yang digunakan untuk memulakan menjalankan backdoor. Dua perkara di sini sekali lagi menunjukkan penyerang yang agak canggih: Pintu belakang dipasang untuk kelihatan seperti bahagian biasa shell Linux dan dilaksanakan dengan cara yang kelihatan seperti pemilik sah pelayan menjalankan perintah yang tidak berbahaya. Ini adalah mudah untuk menulis tandatangan untuk mengesan, sekarang bahawa kita telah melihatnya. Tetapi teknik ini adalah salah satu kesalahan yang berkesan untuk sysop yang cuba mengenalpasti di mana aktiviti berniat jahat datang. Sekiranya penyerang memadamkan fail sisa ini mungkin tidak mustahil untuk mengenal pasti bagaimana pintu belakang bermula, memandangkan kekurangan pembalakan forensik pada pelayan.

Menyerahkan Tanda Tangan kepada Pelanggan Premium kami

Saya mengesahkan bahawa semua sampel yang tidak dapat dikesan sebelum ini dikesan oleh Wordfence dengan tandatangan baru kami dan saya segera memasuki mereka ke dalam makanan Premium BETA kami. Ini membolehkan kami menerima maklum balas segera mengenai kemungkinan pepijat atau positif palsu dari pengguna kami yang menyedari suapan beta Wordfence untuk tandatangan imbas

Kami melakukan QA yang lebih ketat pada waktu-waktu berikut dan, setelah selesai, tandatangan keluar ke dalam pengeluaran Premium kami supaya pelanggan Premium kami dapat menerima keupayaan pengesanan baru dalam masa nyata. Bahagian penting ialah mendapatkan perlindungan tersebut kepada pengguna kami secepat mungkin sebelum terlibat dalam penyelidikan lain.

Melangkah lebih jauh ke Lubang Arnab

Tetapi sekarang, tentu saja, saya bebas meluangkan masa melakukan penyelidikan itu! Seperti yang dinyatakan sebelum ini, saya mempunyai semua maklumat yang saya perlukan untuk berkomunikasi dengan pelayan penyerang dan kawalan pelayan (pelayan C & C). Daripada menubuhkan jangkitan terkawal dan memantau bagaimana naskah berjalan, saya secara manual boleh bertindak sebagai "pelayan yang dijangkiti" dan melihat data lain yang saya dapat berkumpul dengan menghantar kemas kini status saya sendiri.

Server C & C berfungsi melalui HTTP dan termasuk beberapa titik akhir yang berbeza. Bagi pemaju dalam penonton, ia adalah API seperti REST. Apabila pelayan yang dijangkiti dijalankan terlebih dahulu, ia menyusun satu set nilai yang memberi maklumat penyerang tentang sistem operasi, perkakasan, dan proses aktif dan meminta fail konfigurasi.

Saya bermula dengan menghantar laporan palsu untuk pelayan yang tidak wujud dan saya menerima konfigurasi tersuai. Apa yang saya terima sangat serupa dengan fail konfigurasi JSON yang saya periksa sebelum ini, dengan tetapan yang lebih rendah untuk dipadankan dengan mesin berkualiti rendah yang saya berpura-pura menjadi, bersama-sama dengan beberapa tetapan lain yang disesuaikan untuk meningkatkan prestasi khusus mesin semasa cryptomining. Pada ketika ini pintu belakang akan menunggu secara senyap-senyap selama beberapa minit sehingga saya melakukan hal yang sama.

Pada laporan seterusnya saya menghantar maklumat mesin yang sama dan perubahan yang masuk akal dalam proses aktif dan kali ini menerima satu set perintah. Pelayan C & C mengarahkan pintu belakang untuk memuat turun fail, menggunakan teknik cloaking asas, laksanakan fail, dan laporkan output fail tersebut pada arahan seterusnya. Saya memuat turun fail dan ia merupakan satu lagi yang baru dibangunkan xmrig build. Ia juga sepadan dengan seni bina yang saya menuntut. Perintah awal adalah ujian untuk mengesahkan program berfungsi dengan betul, dan saya simulasi ini dan pada selang laporan seterusnya menghantar data yang diharapkan.

Akhirnya pelayan C & C menghantar semula set arahan untuk menjalankan pelombong, menyusun ulang selang untuk menghantar laporan status, dan untuk terus memeriksa perubahan arahan setiap 5 minit. Matlamat penyerang adalah untuk menghasilkan wang dan pelombong ini akan menggunakan sumber-sumber pelayan untuk melombong Monero, suatu cryptocurrency yang kita telah menulis secara meluas pada masa lalu.

Monero unik sesuai untuk jenis hack ini kerana dua sebab. Pertama, ia direka untuk kesamaan nama individu dan mengenal pasti orang yang menerima duit syiling dilombong adalah sangat sukar. Kedua, algoritma perlombongan dimaksudkan untuk dijalankan pada CPU dan bukannya GPU. Kebanyakan pelayan web tidak mempunyai GPU, dan oleh itu, perlombongan mata wang yang membolehkan anda untuk menggunakan CPU secara efektif adalah cara yang ideal untuk menjadikan kuasa pemproses pelayan web curi menjadi cryptocurrency keras. Apabila anda mengagregat seribu atau puluhan ribu pelayan web yang digodam bersama-sama, yang boleh menghasilkan keuntungan yang signifikan bagi penyerang.

Bungkus Up

Setelah menyelesaikan analisis saya dan memastikan Wordfence mengesan semua variasi malware baru ini, saya mendokumenkan taktik, teknik dan prosedur (TTPs) penyerang baru ini bersama-sama dengan pembalakan malware dan penunjuk kompromi lain (IOCs) ke dalam kami platform perisikan ancaman dalaman.

Perlu diingat bahawa penyerang yang mengawal mesin dikompromi oleh jangkitan ini mengawal kumpulan besar kuasa pengiraan dicuri. Anda boleh memikirkan ini sebagai awan AWS swasta yang boleh digunakan oleh penyerang untuk apa-apa yang memerlukan sumber pengkomputeran. Mereka kini menggunakan cluster curi mereka untuk pertambangan cryptocurrency, tetapi tidak ada yang menghalang mereka daripada menggunakan sumber-sumber ini untuk melakukan serangan DDoS, kempen spam e-mel, untuk membunuh kekejaman mencuri kata laluan dicuri atau menggunakan mesin sebagai proksi untuk misdirection ketika menyerang laman web lain. Mereka juga boleh memajak sumber-sumber perhitungan kepada penyerang lain.

Itulah sebabnya saya teruja apabila kita mempunyai peluang untuk menambah pengesanan untuk jenis jangkitan baru ini untuk mengimbas malware Wordfence. Dengan menganalisis satu laman web yang dikompromi dan mengesan pengesanan ke Wordfence, kami mempunyai peluang yang baik untuk menutup penyerang ini apabila semua laman web yang menjalankan Wordfence mengesan jangkitan ini.

Penutup Penutup

Saya ingin mengucapkan terima kasih kepada James kerana mengambil masa keluar dari jadual sibuknya mengejar malware untuk menulis catatan komprehensif ini. Sekiranya anda mempunyai sebarang soalan, jangan teragak-agak untuk menyiarkannya dalam ulasan di bawah. Kedua-dua James dan saya akan berada di sekitar untuk menjawab apa-apa soalan. ~ Mark Maunder

Jawatan ini ditulis oleh James Yokobosky dan disunting oleh Mark Maunder dengan bantuan dari Dan Moen.

Adakah anda menikmati siaran ini? Kongsi!


4.85 ( 13 undi)
Kedudukan anda:



Sumber

Bacaan WordPress Yang Lebih Menarik!

Game Addict – Clan War Gaming Theme
Themeforest,
Themeforest,

Game Addict – Clan War Gaming Theme

Pembuat Rojak - May 28, 2018

Penagih Permainan - Melepaskan semangat anda. Permainan Addict adalah tema untuk puak-puak dan permainan. Ia membolehkan anda dapat membuat dan…

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi
Elegant Themes,
3 views
Elegant Themes,
3 views

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi

Pembuat Rojak - May 27, 2018

Hey Divi Nation! Terima kasih kerana menyertai kami untuk ansuran seterusnya Inisiatif Rekaan Divi mingguan kami; di mana setiap minggu,…

Leave a Comment

Your email address will not be published.