Kempen perisian hasad Linux yang canggih telah ditemui yang menggunakan pendekatan luar biasa untuk mengekalkan kegigihan pada sistem yang terjejas. Penyelidik keselamatan di Red Canary telah mengenal pasti penyerang yang mengeksploitasi kelemahan kritikal Apache ActiveMQ, kemudian serta-merta menampal lubang keselamatan yang sama yang mereka gunakan untuk mendapat kemasukan.
Strategi Penampal Kendiri yang Luar Biasa
Perisian hasad ini, yang digelar DripDropper, mewakili peralihan taktikal dalam tingkah laku penjenayah siber. Selepas berjaya mengeksploitasi CVE-2023-46604, kelemahan keterukan maksimum dalam protokol Java OpenWire Apache ActiveMQ, penyerang meneruskan untuk membaiki kelemahan yang mereka eksploitasi. Pendekatan yang berlawanan dengan intuisi ini mempunyai dua tujuan strategik: menghalang keluarga perisian hasad lain daripada mengakses sistem yang sama dan menjadikan kompromi awal lebih sukar untuk dikesan dan dijejaki.
Penyelidik Red Canary menyatakan bahawa walaupun taktik ini tidak sepenuhnya tidak pernah berlaku sebelum ini, ia menunjukkan tahap kecanggihan yang memastikan kawalan eksklusif ke atas infrastruktur yang terjejas. Strategi ini secara berkesan menghalang pelaku ancaman yang bersaing sambil mengurangkan kemungkinan pentadbir sistem akan menemui pelanggaran melalui pengimbasan kelemahan rutin.
Butiran Kelemahan
- ID CVE: CVE-2023-46604
- Skor CVSS: 10.0 (Keterukan maksimum)
- Perisian Terjejas: Protokol Apache ActiveMQ Java OpenWire
- Status Tampung: Tersedia selama hampir 2 tahun
Pelaksanaan Teknikal dan Penghantaran Muatan
Serangan bermula dengan eksploitasi kelemahan Apache ActiveMQ, yang telah membawa penarafan bahaya maksimum 10 pada skala Common Vulnerability Scoring System ( CVSS ). Setelah akses awal diwujudkan, penyerang menggunakan rangka kerja Kawalan dan Perintah termasuk Sliver dan Cloudflare Tunnels untuk mengekalkan kegigihan jangka panjang pada sistem sasaran.
Perisian hasad mengubah suai fail konfigurasi SSH untuk membolehkan log masuk root, memberikan penyerang akses pentadbiran yang komprehensif. DripDropper sendiri dihantar sebagai binari PyInstaller ELF yang disulitkan yang memerlukan kata laluan untuk dilaksanakan, menjadikan kejuruteraan terbalik jauh lebih mencabar untuk penyelidik keselamatan dan sistem analisis automatik.
Komponen Serangan
- Akses Awal: Eksploitasi Apache ActiveMQ
- Rangka Kerja C2: Sliver, Cloudflare Tunnels
- Komunikasi: Dropbox dengan token bearer terkod keras
- Kegigihan: Pengubahsuaian konfigurasi SSH, kerja cron
- Muatan Sekunder: Pemantau proses, akses SSH melalui pengguna 'games'
Komunikasi Melalui Perkhidmatan Sah
DripDropper mewujudkan komunikasi dengan pengendalinya melalui akaun Dropbox menggunakan token bearer yang dikodkan keras. Pendekatan ini mencerminkan taktik yang digunakan oleh keluarga perisian hasad canggih lain seperti CHIMNEYSWEEP dan Mustang Panda, memanfaatkan perkhidmatan penyimpanan awan yang sah untuk mencampurkan trafik hasad dengan komunikasi perniagaan biasa.
Perisian hasad biasanya menggunakan dua komponen sekunder selepas mewujudkan pijakannya. Komponen pertama memantau proses sistem dan mengekalkan hubungan dengan pusat perintah Dropbox, mewujudkan kegigihan melalui kerja cron yang dijadualkan. Yang kedua mencipta nama fail rawak lapan aksara dan seterusnya mengubah suai tetapan SSH untuk membolehkan akses rahsia melalui akaun pengguna 'games'.
Melengkapkan Penipuan
Dalam fasa akhir serangan, DripDropper memuat turun fail JAR ActiveMQ yang sah terus dari repositori Maven rasmi Apache. Fail bersih ini menggantikan versi yang terdedah yang pada asalnya terdapat pada sistem, secara berkesan menampal lubang keselamatan dan menghilangkan tanda-tanda kompromi yang jelas. Proses pembersihan yang canggih ini membolehkan penyerang mengejar objektif utama mereka, sama ada perlombongan mata wang kripto, pergerakan rangkaian sisi, atau pengekstrakan data, tanpa mencetuskan amaran keselamatan.
Langkah Keselamatan yang Disyorkan
- Lumpuhkan log masuk SSH root
- Jalankan perkhidmatan web di bawah akaun bukan root
- Laksanakan sekatan akses rangkaian (firewall, VPN)
- Gunakan pengurusan tampung berasaskan dasar ( Ansible , Puppet )
- Dayakan pengelogan menyeluruh untuk aktiviti awan
- Kekalkan pemasangan ActiveMQ yang terkini
Strategi Pencegahan dan Mitigasi
Pertahanan paling kritikal terhadap vektor serangan ini kekal mengekalkan versi perisian semasa dan melaksanakan proses pengurusan tampalan yang teguh. Organisasi yang menjalankan Apache ActiveMQ mesti memastikan mereka mengendalikan versi yang ditampal, kerana kelemahan yang dieksploitasi telah ditangani selama hampir dua tahun.
Pakar keselamatan mengesyorkan melaksanakan langkah pengerasan komprehensif termasuk melumpuhkan log masuk SSH root, menjalankan perkhidmatan web di bawah akaun tidak berkeistimewaan, dan menyekat akses rangkaian melalui konfigurasi firewall dan VPN. Alat pengurusan berasaskan dasar seperti Ansible atau Puppet boleh membantu memastikan tampalan yang konsisten merentas infrastruktur sambil mengekalkan dokumentasi terperinci tentang perubahan sistem.
Penemuan DripDropper menggariskan kecanggihan yang berkembang bagi perisian hasad yang menyasarkan Linux, terutamanya apabila infrastruktur awan terus berkembang. Organisasi mesti membangunkan keupayaan tindak balas insiden khusus yang disesuaikan dengan kedua-dua seni bina awan dan persekitaran Linux untuk mempertahankan secara berkesan terhadap ancaman berterusan canggih ini.