RedTail 僵尸网络积极利用新漏洞发起攻击

自从 Palo Alto 的 PAN-OS 漏洞公开披露以来,研究人员发现已有攻击者将该漏洞纳入武器库中。

CVE-2024-3400

2024 年 4 月 11 日,Palo Alto 发布公告称基于 PAN-OS 的产品中存在的 0day 漏洞已经被攻击者利用,安全公司 Volexity 已经发现了在野攻击。

该漏洞允许攻击者创建任意文件,并以 root 用户权限执行命令。具体来说,在 SESSID Cookie 中设置特定值,PAN-OS 会以此值创建文件。因此与路径遍历技术结合使用时,攻击者就可以控制文件名和存储文件的目录。

Cookie: SESSID=/../../../var/appweb/sslv-pndocs/global-protect/portal/images/poc.txt

该漏洞存在于 PAN-OS 某些版本的 GlobalProtect 功能中,Cloud NGFW、Panorama 设备和 Prisma Access 并未受此漏洞影响。

观察到的攻击

漏洞披露后,往往会看到许多非恶意攻击的尝试。尤其是存在公开的 POC 后,许多研究人员都会自己进行测试,导致攻击活动出现大幅增加。根据研究人员的分析,大多数利用该漏洞进行攻击尝试的都是试图编写虚拟文件的,但近期尝试通过各种 IP 地址下载并运行 bash 脚本的攻击有所抬头。

1717257353_665b44891fb784b118314.png!small?1717257350933

典型攻击

检查该 bash 脚本可以发现,攻击者判断受害者的处理器架构再下载对应的二进制文件,这种行为在以 DDoS 和挖矿为主的僵尸网络构建中非常典型。

1717257378_665b44a2a184453b8966d.png!small?1717257377150

恶意 bash 脚本

恶意软件名为 .redtail,这与 CSA 在年初披露的恶意软件相同。CSA 在 2023 年 12 月发现了该僵尸网络,使用恶意软件文件名将其命名为 RedTail。业界也有发现,恶意软件也通过 Log4j 漏洞进行传播,后续挖掘门罗币。

挖掘加密货币

下载的恶意软件与 CSA 披露的类似,是使用 UPX 加壳的 XMRig 挖矿程序的变种。

1717257407_665b44bfbddf723770a94.png!small?1717257406944

挖矿程序

只不过与常见的僵尸网络不同,RedTail 没有通过网络请求获取挖矿程序的配置信息,而是将其 XMRig 的代码嵌入了自己恶意软件的代码中。

攻击者修改了挖矿程序代码,将配置文件进行了加密,只有启动 XMRig 的时候才会将配置文件解密。配置文件如下所示:

{"autosave": true,"opencl": false,"cuda": false,"cpu": {"enabled": true,"huge-pages": true,"max-threads-hint": 95},"randomx": {"mode": "auto","1gb-pages": true,"rdmsr": false,"wrmsr": true},"pools": [{"nicehash": true,"url": "proxies.identitynetwork.top:2137"},{"nicehash": true,"url": "193.222.96.163:2137"},{"nicehash": true,"url": "185.216.70.138:2137"},{"nicehash": true,"url": "78.153.140.51:2137"}]
}

攻击者运营着自己控制的矿池或者矿池代理,没有使用公共矿池。尽管维护私人的矿池或者矿池代理会额外增加运营成本,但可以对挖矿结果进行更便利地控制。

深入了解挖矿

攻击者尽量优化了挖矿操作,使用较新的 RandomX 算法。该算法能够利用 NUMA 节点提高效率,结合大页配置修改,可以将性能提高 1% 到 3%。

与 2024 年年初披露的 RedTail 变种不同,该恶意软件采用了更为先进的检测规避和持久化技术。它通过调试进程来阻碍分析、终止任何发现的 GDB 进程,还通过定时任务在系统重启后维持存在。

1717257427_665b44d38b53a4c7cdb60.png!small?1717257425131

持久化

有针对性的攻击

查看其所有攻击,可以发现攻击者针对其他各种漏洞发起攻击,包括 2024 年年初披露的 Ivanti Connect Secure SSL-VPN CVE-2023-46805 和 CVE-2024-21887。

1717257448_665b44e830bce16c102cd.png!small?1717257446061

CVE-2023-46805

1717257468_665b44fc89d0b5637e4be.png!small?1717257466338

CVE-2024-21887

何方神圣?

2024 年 1 月,GreyNoise 观察到针对 Ivanti SSL-VPN 漏洞的挖矿僵尸网络。但分析人员分析后确认,该僵尸网络的攻击方式与 GreyNoise 披露的有所不同,这二者不是相同的攻击者。

其他漏洞

该僵尸网络利用的其他漏洞还包括:

  • TP-LINK 的 CVE-2023-1389
  • VMWare Workspace ONE Access and Identity Manager 的 CVE-2022-22954
  • ThinkPHP 文件包含与远程执行漏洞
  • ThinkPHP 远程代码执行漏洞

1717257494_665b45165939206b680f6.png!small?1717257492140

CVE-2023-1389

1717257516_665b452ccd9744306076f.png!small?1717257514506

ThinkPHP 文件包含与远程执行漏洞

1717257534_665b453e00185b1aceaeb.png!small?1717257531770

CVE-2018-20062

该恶意软件还包含许多不同的 URL 内嵌字符串,这些字符串都是加密存储的,在执行时解密。这些路径覆盖 PHPUnit 漏洞(CVE-2017-9841)和各种 CGI-Bin 的远程代码执行漏洞,但这些漏洞都未被使用。

1717257551_665b454f8a6a1f8e3fbba.png!small?1717257549588

其他漏洞利用

漏洞利用趋势

跟踪数据发现,PAN-OS 的漏洞至少在 4 月 21 日就被应用于攻击中了:

1717257573_665b45656fc315a94c61d.png!small?1717257571126

漏洞利用趋势

总结

RedTail 一直在更新进步,启用私有矿池进行隐蔽,这与 Lazarus 组织的策略类似。VulDB CTI 团队提到了针对 PAN-OS 漏洞(CVE-2024-3400)的在野攻击,可能与 2024 年 4 月 13 日 Lazarus 的攻击活动有关。

IOC

92.118.39.120

193.222.96.163

79.110.62.25

34.127.194.11

192.18.157.251

68.170.165.36

94.74.75.19

193.222.96.163

94.156.79.60

94.156.79.129

185.216.70.138

78.153.140.51

proxies.identitynetwork.top

参考来源

Akamai

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/856932.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

配置 python 脚本操作Excel 环境

在已装python的前提下 一、安装依赖库 pip install pandas pip install openpyxl安装完后,可以在 Python 中运行以下命令来查看 pandas 或 openpyxl 的安装路径: import pandas as pd print(pd.__path__)import openpyxl print(openpyxl.__path__)二、测…

LearnOpenGL - Android OpenGL ES 3.0 绘制纹理

系列文章目录 LearnOpenGL 笔记 - 入门 01 OpenGLLearnOpenGL 笔记 - 入门 02 创建窗口LearnOpenGL 笔记 - 入门 03 你好,窗口LearnOpenGL 笔记 - 入门 04 你好,三角形OpenGL - 如何理解 VAO 与 VBO 之间的关系LearnOpenGL - Android OpenGL ES 3.0 绘制…

【C/C++】实现高性能日志轮转功能,已实测

基本实现 在C语言中实现日志文件轮转功能,你需要手动编写代码来处理文件的重命名、压缩和删除。下面是一个简单的C语言程序示例,它演示了如何实现基本的日志文件轮转功能。这个程序会检查日志文件的大小,如果超过预设的大小限制,…

光纤中的数值 2.405 是怎么一回事?

在光纤通信中,光线的传播依赖于纤芯和包层之间的折射率差异。 即,当光线从纤芯入射到界面上时,如果入射角大于临界角 θ0,将发生全反射,没有光能量透射至包层而泄漏出去,此即光纤导光原理。 反映到光纤的端面,在光纤端面的光线,当入射角必须小于光纤的孔径角 α0 ,此时…

高效管理:好用的项目管理工具推荐

在当今快速变化的商业环境中,高效的项目管理工具能够显著提升团队的生产力和项目的成功率,还能有效地跟踪项目进度。所以,一款优秀的项目管理工具首先要具备先进的项目管理理念,支持多种研发管理和项目管理方法论,才能…

名称申请不了商标,可以受保护不!

前几天个网友说要申请注册个商标名称,发来名称让普推商标知产老杨帮忙检索了下,发现有同名的被驳回,而且是做过驳回复审被驳回,而且是绝对理由驳回的,易使消费者对商品的品质等特点产生误认,不得作为商标使…

【工具】全国省市县SQL脚本(MySQL)

目录 省份建表插入数据 城市建表插入数据 测试 省份 建表 CREATE TABLE province (id int(11) NOT NULL,create_time datetime(0) NOT NULL COMMENT 创建时间,update_time datetime(0) NULL DEFAULT NULL COMMENT 修改时间,valid char(1) CHARACTER SET utf8 COLLATE utf8_ge…

IntelliJ IDEA 2024 mac/win版:编程利器,智慧之选

IntelliJ IDEA 2024是一款由JetBrains精心打造的集成开发环境(IDE),专为Java等编程语言量身打造,同时支持多种其他语言,为开发者提供了卓越的开发体验。 IntelliJ IDEA 2024 mac/win版获取 这款IDE凭借其出色的智能化和高效性,赢…

红军九大技战法

一、动态对抗,线上社工持续信息追踪 发起攻击前,发起攻击前,尽可能多的搜集攻击目标信息,做到知己知彼,直击目标最脆弱的地方。攻击者搜集关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息&#x…

Python自动化(3)——鼠标模拟

Python自动化(3)——鼠标模拟 前台鼠标模拟 鼠标模拟和键盘模拟类似,也是分前台和后台模拟。话不多说直接,上代码: import time import win32api import win32con import win32gui from ctypes import *MOUSEEVENTF_LEFTDOWN 0x2 MOUSEEV…

java基于ssm+jsp 高校四六级报名管理系统

1前台首页功能模块 高校四六级报名管理系统,在系统首页可以查看首页、四六级报名、新闻资讯、我的、跳转到后台、在线客服等内容,如图1所示。 图1系统功能界面图 学生登录、学生注册,在注册页面可以填写学号、密码、姓名、学院、班级、手机、…

决策树算法详细介绍原理和实现

决策树是一种常用的分类算法,它通过一系列的问题将数据分割成不同的分支,最终确定数据属于哪个类别。下面是决策树的原理、实现方式以及一个案例实现的详细介绍。 决策树原理 特征选择:决策树的构建过程首先需要选择一个特征作为节点&#…

hostname: Name or service not known

rootuser-PC:~# hostname -i hostname: Name or service not known rootuser-PC:~# vi /etc/hosts 10.170.200.148 node148 ## 设置hostname rootuser-PC:~# hostnamectl --static set-hostname node148 ## 再执行的hostname的时候就不会报错了. rootuser-PC:~# hostname…

yolov8中配置文件args.yaml解读

task: 指定任务类型,这里是 detect,表示进行目标检测任务。mode: 指定模式,train 表示训练模式。model: 模型权重文件的路径,这里是预训练模型权重的路径。data: 数据集配置文件的路径,指定了训练和验证数据的位置和格…

现货黄金应用价格行为交易所需要的环境

在现货黄金投资中,投资者常用价格行为交易法来分析走势。简单来说,这种方法就是只看K线和支撑阻力位,顶多加一些简单的指标,以此构建分析和交易的系统。由于价格行为简单易学,现在的投资者或多或少都在使用这个方法。但…

短视频批量下载工具源码逻辑解析(软件)

短视频批量提取第三篇关于视频提取下载的思路 一:概述 因为上一篇不完整,这里其实就是补充第二篇关于源码思路。这里不针对视频评论的提取,只对视频分享链接批量导入下载进行思路解析 二:难点 通常情况下如果直接访问详情页进行…

【稀疏三维重建】Flash3D:单张图像重建场景的GaussianSplitting

项目主页:https://www.robots.ox.ac.uk/~vgg/research/flash3d/ 来源:牛津、澳大利亚国立 提示: 文章目录 摘要1.引言2.相关工作3.方法3.1 背景:从单个图像中重建场景3.2 单目 4.实验4.14.2 跨域新视角合成4.3 域内新视图合成4.4…

学懂C#编程:常用高级技术——委托(Delegate)应用场景——秒懂 多播委托

多播委托:一个委托可以引用多个方法,形成多播委托,调用时所有方法都会执行。 在C#中,委托支持多播,这意味着一个委托实例可以绑定多个方法。当这样的委托被调用时,所有绑定的方法会按照它们添加到委托的顺序…

24h业务系统不间断,HA双活存储能做到

封面 Infortrend GS统一存储支持HA双活功能。之前GS的高可用性是通过双冗余控制器设计来实现的。现在企业用两台GS设备的HA双活功能,进一步增强高可用性。HA双活功能在两台GS存储系统上保存相同的数据副本,保证数据不会丢失。在一台GS故障时另一台继续…

【Python高级编程】pickle`文件处理:序列化与反序列化

使用pickle模块可以在Python中方便地序列化和反序列化Python对象。以下是一个例子,展示了如何处理pickle文件,包括如何保存数据到pickle文件和从pickle文件加载数据。假设我们有一些数据需要保存并在之后加载。 示例代码 保存数据到 pickle 文件 impo…