Sysrv je dobro dokumentovani botnet koji je prvi put identifikovan 2020. godine, a glavni teret je crv napisan u Golangu. On ispušta kriptomajner na zaražene hostove prije nego što pokuša da se širi koristeći različite metode, uključujući mrežne ranjivosti. Tokom proteklih nekoliko godina, botnet je evoluirao i prilagodio se i široko je dokumentovan od strane istraživača iz različitih organizacija. U ovom blogu ćemo istražiti najnoviju varijantu (prikazanu na dijagramu lanca infekcije ispod), zajedno s novokorištenim tehnikama i najnovijim IoC-ima koje je otkrio Imperva Threat Research.
Kompromitovane lokacije
Imperva Threat Research je prvi put otkrio sumnjivo ponašanje u vezi sa botnetom početkom marta, u obliku blokiranih HTTP zahtjeva koji su uočeni kako pogađaju Imperva proxy servere. Zahtjevi su bili vrlo indikativni za promet botova, ciljajući na mnoge stranice, u više zemalja. Zahtjevi su dijelili zajedničke potpise i pokušali su iskoristiti više poznatih web ranjivosti u Apache Struts (CVE-2017-9805) i Atlassian Confluence (CVE-2023-22527 i CVE-2021-26084).
Zanimljivije zapažanje, međutim, bilo je korištenje naizgled legitimnog domena koji pripada poznatoj malezijskoj akademskoj instituciji, čije ime smo zatajili kako bismo im omogućili da saniraju infekciju. Domen se koristi za smještaj digitalne arhive institucije, a baziran je na platformi poznatoj kao Duraspace ili DSpace. Čini se da su izvršioci ove iteracije sysrv botnet kampanje ugrozili web lokaciju kako bi ugostili svoje maliciozne datoteke.
Ažurirana Dropper skripta
Kao dio naše analize ove kampanje, preuzeli smo i analizirali uzorke malvera koji se nalaze na kompromitovanoj web lokaciji. Prva od njih je bila dropper bash skripta pod nazivom “ldr.sh”, koja je značajno slična prethodno dokumentovanim iteracijama sysrv botneta.
Skripta definiše nekoliko varijabli koje se odnose na preuzimanje binarnog fajla druge faze: varijablu “cc”, koja sadrži URL kompromitovanog sajta; sys varijabla, koja sadrži nasumični niz generisan iz md5 heša datuma; i funkciju get, koja se može koristiti za preuzimanje datoteka sa URL-ova koji su joj proslijeđeni.
Varijable i funkcija se koriste kasnije u skripti, za preuzimanje i izvršavanje binarne druge faze sa kompromitovanog sajta.
Prije preuzimanja i izvršavanja binarne druge faze, skripta izvršava različite naredbe za ukidanje procesa i deinstaliranje programa koji se odnose na zaštitu krajnje tačke i prethodne infekcije malverom. Snimke ekrana ispod pokazuju naredbe za ukidanje procesa povezanih s prethodnim kriptomajning infekcijama (lijevo) i naredbe za uništavanje procesa povezanih sa skeniranjem krajnje tačke i otkrivanjem malvera.
Skripta zatim izvodi rekurzivnu pretragu za SSH hostovima i ključevima i pokušava da propagira skriptu na druge hostove koristeći SSH.
Jedna od glavnih razlika između zlonamjerne skripte za preuzimanje uočene u prethodnim iteracijama ove kampanje i trenutne verzije su dodatne funkcije koje se koriste za pripremu različitih CPU arhitektura za predstojeću operaciju rudarenja:
Poboljšane binarne sposobnosti
Možda je najznačajniji napredak ove iteracije sysrv botneta u poboljšanjima napravljenim na početnom ubačenom binarnom sistemu, u poređenju sa prethodnim verzijama u kampanji. Kao i uzorci iz prethodnih iteracija kampanje, novi uzorak je statički povezana, ogoljena Golang binarna datoteka, upakovana sa UPX pakerom. Binarni sistem ispušta više kopija iste ELF datoteke na različitim mjestima u sistemu datoteka, a takođe pokreće slušaoca na zaraženom hostu, obje verovatno da bi se omogućila postojanost; međutim, postoji nekoliko načina na koje je uzorak evoluirao iz prethodnih iteracija kampanje.
Poboljšanja:
U našoj analizi uočili smo nekoliko razlika i poboljšanja koje su implementirali programeri malvera. Prva od njih bila je upotreba zamagljivanja u binarnom sistemu golang, što znači da napori da se oporave strukture datoteka pomoću poznatih alata kao što su GoReSym ili redress više nisu bili efikasni. Unatoč tome, uspjeli smo izvršiti dinamičku analizu uzorka kako bismo otkrili neka zanimljiva nova ponašanja.
Prvo zanimljivo zapažanje bilo je korištenje Google poddomena za preuzimanje binarnog programa druge faze. Nakon izvršenja, malver dolazi do sites.google.com kako bi dohvatio kodiranu i upakovanu ELF binarnu datoteku:
hxxps://sites.google[.]com/view/osk05/osk/[a-zA-Z]+
Sama stranica koristi Google simbole kako bi se prikrila kao legitimna stranica o grešci, dok u stvarnosti HTML odgovor sadrži veliki kodirani odjeljak koji sadrži binarnu datoteku. Imperva Threat Research je tada prijavio ovu stranicu Google sigurnosti.
Nakon dekodiranja, raspakivanja i dalje analize ovog uzorka, utvrdili smo da se radi o XMRig rudaru, tipičnom za postojeću kampanju. Uzorak se povezuje sa sljedećim krajnjim tačkama što ukazuje da koristi tok rudarenja MoneroOcean:
gulf.moneroocean.stream:10128
109.123.233.251:443
Uzorak djeluje u ime sljedećeg novčanika:
483F2xjkCUegxPM7wAexam1Be67EqDRZpS7azk8hcGETSustmuxd1Agffa3XSHFyzeFprLyHKm37bTPShFUTKgctMSBVuuK
Novčanik pokazuje da je trenutno 6 radnika povezanih s njim, a trenutno generiše oko 57 XMR (otprilike 6800 USD) godišnje:
Zaključak
Iz istrage možemo izvući jedan očigledan zaključak: vješti hakeri neprestano evoluiraju kako bi izbjegli otkrivanje. U ovom slučaju, sysrv akteri su koristili naizgled legitimne domene kako bi njihova zlonamjerna aktivnost izgledala iznad sumnje. Služi kao upozorenje sigurnosnim timovima da se zlonamjerni fajlovi i dalje mogu isporučiti iz naizgled pouzdanih izvora.
Najnoviji IoC
URL adrese:
Dropper URL
hxxp://redacted/jspui/ldr.sh
Dropper URL
hxxp://redacted/jspui/cron
Dropper URL
hxxp://92.60.39[.]76:9991/ldr.sh
Dropper URL
hxxp://92.60 .39[.]76:9991/cron
Dropper URL
hxxps://sites.google[.]com/view/osk05/osk/E
Dropper URL
hxxps://sites.google[.]com/view/osk05/osk /d
URL bazena za rudarenje
hxxps://gulf.moneroocean[.]stream:10128
URL bazena za rudarenje (proxy)
hxxps://109.123.233[.]251:443
Haševi fajlova:
Dropper script – ldr.sh
6fb9b4dced1cf53a9533ed497f38550915f9e448e62a6f43e9d8b696bd5375dc
Dropper script – ldr.sh
f0a299b93f1a2748edd69299f694d3a12edbe46485d29c1300172d4ac4fd09d4
ELF Binary – cron (Packed)
1ba8f42d8db461bb45f9d3e991c137b7b504aee5213cfe7a12cd4b366512696e
ELF Binary – cron (Unpacked)
495500dcd8b3fa858335f0c85ddcc265f09ed638d87226e8bce8b53ef626464e
ELF Binary – XMRig (Packed)
74d22338e9b71cefb4f5d62497e987e396dc64ca86b04a623c84d5b66a2d7d3e
ELF Binary – XMrig (Unpacked)
3961c31ed8411944c5401bb7a9c6738ec963910c205dba5e35292c7d4f7b912b
Ostalo:
XMR novčanik
483F2xjkCUegxPM7wAexam1Be67EqDRZpS7azk8hcGETSustmuxd1Agffa3XSHFyzeFprLyHKm37bTPShFUTKgctMSBVuuK
Izvor: Imperva