Кампания криптоджекинг-атак на веб-серверы Apache с использованием Cobalt Strike

Центр экстренного реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) отслеживает атаки на уязвимые веб-серверы, имеющие непропатченные уязвимости или плохо управляемые. Поскольку веб-серверы открыты для внешнего доступа с целью предоставления веб-сервисов всем доступным пользователям, они становятся основными объектами атак для субъектов угроз.

Оглавление

CobaltStrike Beacon

К основным примерам веб-сервисов, поддерживающих работу в среде Windows, относятся Internet Information Services (IIS), Apache, Apache Tomcat и Nginx. Хотя веб-сервис Apache обычно используется в средах Linux, в некоторых случаях он применяется для предоставления услуг в средах Windows, поскольку поддерживает и Windows.

Недавно компания ASEC выявила атакующую кампанию, в ходе которой на веб-серверах под управлением Windows, работающих под управлением Apache, был установлен XMRig CoinMiner. Для управления зараженной системой угрожающий агент использовал Cobalt Strike. Cobalt Strike - это коммерческий инструмент для тестирования на проникновение, и в последнее время он используется в качестве средства доминирования над внутренней системой в большинстве атак, включая APT и ransomware.

Целевыми системами были все среды с установленными старыми версиями веб-сервиса Apache и PHP. Хотя конкретный метод атаки не был определен, вероятно, на непропатченные веб-серверы Apache могли быть проведены атаки с использованием различных уязвимостей. Также были зафиксированы случаи установки вредоносных штаммов веб-оболочки PHP.

Атакующий загрузил и исполнил вредоносную программу через установленную веб-оболочку или с помощью атак на уязвимости. Целью атаки является процесс httpd.exe, представляющий собой веб-сервер Apache. Соответственно, httpd.exe выполняет такие вредоносные действия, как создание и запуск вредоносного ПО.

Следует отметить, что такие действия, как создание файлов для процессов веб-служб и выполнение процессов, не всегда используются в злонамеренных целях. Они могут происходить во время легитимных процессов обновления или при выполнении администратором задач по управлению веб-сервером. В связи с этим существует ограничение на идеальное блокирование такого поведения антивирусными продуктами типа V3.

Маяк - это агент Cobalt Strike, выполняющий роль "черного хода". Cobalt Strike предоставляет маяки в различных формах. В зависимости от метода они могут быть классифицированы как stager или stageless.

При использовании метода stager используется вредоносная программа-загрузчик, которая загружает маяк из внешнего источника и выполняет его в области памяти. Поскольку этот метод фактически не содержит маяка, он имеет небольшой размер и требует дополнительного шага для загрузки маяка. С другой стороны, Cobalt Strike, созданный с помощью бесступенчатого метода, содержит маяк внутри и имеет размер файла, превышающий определенный порог.

Чтобы избежать обнаружения файлов, атакующий обфусцировал используемые штаммы вредоносного ПО, в том числе с помощью Golang или PyInstaller. Большинство штаммов вредоносного ПО, использованных в атаках, применяют бесстадийный метод. Однако вредоносная программа, разработанная с использованием PyInstaller, является вредоносной программой-загрузчиком, использующей метод stager (загружает Cobalt Strike и выполняет его в области памяти).

Маяки также могут взаимодействовать с C&C-сервером по таким протоколам, как http, https и dns. Поскольку маяк, установленный во внутренней сети на этапе латерального перемещения, не будет связан с внешней сетью, используется SMB-маяк, взаимодействующий по протоколу SMB. Поскольку все экземпляры Cobalt Strike, использовавшиеся в атаках, были предназначены для управления зараженной системой после первичного проникновения, для связи с C&C-сервером они использовали протокол HTTP. Ниже приведен результат использования CobaltStrikeParser на экземпляре Cobalt Strike, использовавшемся в атаке, для извлечения конфигурационных данных. Видны различные параметры, включая не только адрес C&C-сервера, но и user-agent, а также целевой процесс для инъекции.

Экземпляры Cobalt Strike, использовавшиеся в атаках, имели различный внешний вид, например Go и PyInstaller, но во всех случаях для C&C-сервера использовался один и тот же IP-адрес. В прошлом компания АнЛаб обнаруживала C&C-адрес, используемый в атаках Cobalt Strike, как вредоносный URL, что также может быть проверено в AhnLab EDR. Ниже приведены доказательные данные о том, что поведение подключения к вредоносному URL является угрозой. В нем представлена информация о вредоносном URL-адресе и процессе, подключившемся к нему, а также переданные данные полезной нагрузки.

После попытки установки Cobalt Strike была предпринята попытка дополнительной установки Gh0st RAT. Вероятно, это было сделано из-за некорректной работы Cobalt Strike из-за продуктов безопасности. При получении контроля над зараженной системой в результате таких попыток в конечном итоге устанавливался CoinMiner, добывающий монеты Monero.

Поскольку никаких логов, кроме логов установки вредоносной программы удаленного управления и CoinMiner, выявлено не было, можно предположить, что конечной целью атакующего является использование ресурсов плохо управляемых веб-серверов для добычи монет Monero и извлечения прибыли.