Bir siber güvenlik firması olan Red Canary’deki analistler, ASP.NET web çerçevesi üzerine inşa edilmiş halka açık web uygulamalarında CIO-2019-18935 adlı bir serileştirme güvenlik açığından yararlanan bir Monero kripto para madenciliği sistemini keşfettiler.
Sisteme “Blue Mockingbird” adı verildi.. Uzaktan kod yürütme için ASP.NET AJAX için Progress Telerik UI ön uç teklifinde bulunan merkezi olmayan güvenlik açığını kullanıyorlar. AJAX (Asenkron JavaScript ve XML), tarayıcı tarafından işlenecek ve yürütülecek bir web sayfasına komut dosyası eklemek için kullanılan bir araçtır.
Bu özel güvenlik açığı CVE-2019-18935, Ulusal Güvenlik Açığı Veritabanı’nda belirtildiği gibi RadAsyncUpload işlevinde bulunur. Şifreleme anahtarını bilerek kullanılır (başka bir saldırı veya yöntemle).
Analist kampanyayı Aralık ayından ve Nisan ayına kadar sürdürdü. Siber suçlular, güvenlik açığının düzeltilmediği ve güvenlik açığı yoluyla XMRig Monero kripto madencilik yükünü enjekte ederek ve ağ üzerinden dağıtarak ASP.NET için Telerik UI’nin eşleşmemiş sürümlerini kullanıyor.
XMRig açık kaynak kodludur ve analist tarafından yapılan araştırmaya göre özel takımlara dönüştürülebilir. Red Canary üç belirgin yürütme yolu keşfetti: rundll32.exe ile yürütme açıkça DLL fackaaxv çağırıyor; /s komut satırı seçimini kullanarak regsvr32.exe kullanarak yürütme ve bir Windows Service DLL olarak düzenlenmiş yük ile yürütme.
“Her yük, bir Monero cüzdan adresinin yanı sıra yaygın olarak kullanılan Monero-madencilik alanlarının standart bir listesiyle derleniyor.” Monero’nun özel yapısı nedeniyle, bu cüzdanların miktarını tahmin etmek için lazım verileri göremiyoruz. ”
Kalıcı olmak için, Blue Mockingbird korsanları ilk önce giriş yapmalı ve farklı stratejiler kullandıkları ayrıcalıklarını kaldırmalıdır. Başka bir durumda, oturum açma kimlik bilgilerini almak için Mimikatz aygıtı (yetki ile işaretlenmiş sürüm) kullanılmıştır.
Blue Mockingbird -bu oturum açma ve ayrıcalıkları aldıktan sonra- DLL çalıştırmak için COR_PROFILER COM gibi birden çok teknik kullandı.
“COR_PROFILER kullanmak için, ortam değişkenlerini ayarlamak ve bir DLL yükü belirlemek için wmic.exe ve Windows Kayıt Defteri değişikliklerini kullandılar.”
Bu gibi güvenlik açıklarından yararlanan tehditleri önlemede web sunucuları, web uygulamaları ve uygulamaların en iyi dostu güvenlik duvarıdır.
No Comment