Новости Огонь по своим: пентестеры стали жертвой своего собственного инструмента

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
PoC-эксплойт проверяет не только уязвимости, но и "иммунитет" компьютера.


vfeiel177j6531sdw1mzvi2ldoho3o01.png


Исследователи кибербезопасности стали мишенью поддельного PoC -эксплойта CVE-2023-35829, который устанавливает вредоносное ПО для кражи паролей Linux .

Аналитики Uptycs Для просмотра ссылки Войди или Зарегистрируйся вредоносный PoC (Proof-of-Concept) во время своих обычных проверок, когда системы обнаружения помечали нарушения, такие как неожиданные сетевые подключения, попытки несанкционированного доступа к системе и нетипичные передачи данных.

Было обнаружено 3 репозитория, в которых размещался вредоносный поддельный PoC-эксплойт, 2 из которых были удалены с GitHub, а 1 оставшийся все еще работает.


c1d1cttpgae458s6rlhc8l20e5d11s0f.png


Вредоносный репозиторий GitHub, распространяющий стилер

Вредоносный PoC-код оказался широко распространен среди членов сообщества исследователей безопасности, поэтому заражения могут существовать на значительном количестве компьютеров.

Сведения о вредоносном PoC

PoC описывается как эксплоит для уязвимости использования после освобождения ( Use-After-Free , UAF ) Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 7.0), влияющей на ядро Linux до версии 6.3.2. Однако на самом деле PoC является копией старого настоящего эксплойта для другой уязвимости ядра Linux – CVE-2022-34918 (CVSS:7.8).


ry47p1ieaczt1r0ly8sd3vm1s2yb841n.png


Сравнение кода двух PoC

Код использует пространства имен – функцию Linux, которая разделяет ресурсы ядра, чтобы создать впечатление, что это корневая оболочка, хотя ее привилегии по-прежнему ограничены в пространстве имен пользователя.

Это создаёт иллюзию того, что эксплойт подлинный и работает должным образом, что дает злоумышленникам больше времени для свободного перемещения по скомпрометированной системе.


w61kpv3iluwbpcytdp0untdczrbx8ci1.png


Часть кода для создания поддельной оболочки

Далее PoC сохраняется в системе и связывается с C2-сервером злоумышленника, чтобы загрузить и выполнить bash -скрипт Linux с внешнего URL-адреса. Загруженный скрипт похищает ценные данные, в том числе пароли, имя пользователя, имя хоста и содержимое домашнего каталога жертвы. Затем скрипт предоставляет хакеру несанкционированный удаленный доступ к серверу и эксфильтрует украденные данные.

Bash-сценарий маскирует свои операции под процессы уровня ядра, чтобы избежать обнаружения, поскольку системные администраторы склонны доверять им и обычно не проверяют эти записи.

PoC, загруженные из Интернета, следует тестировать в изолированных средах, таких как виртуальные машины, и, если возможно, проверять их код перед выполнением. Отправка двоичных файлов в VirusTotal также является быстрым и простым способом идентификации вредоносного файла.
 
Источник новости
www.securitylab.ru

Похожие темы