بهره‌برداری از آسیب‌پذیری بحرانی موجود در سرورهای Oracle WebLogic برای استخراج ارز مجازی

بهره‌برداری از آسیب‌پذیری بحرانی موجود در سرورهای Oracle WebLogic برای استخراج ارز مجازی

طبق گزارش Trend Micro، آسیب‌پذیری اخیراً وصله شده Oracle WebLogic در حملاتی که منجر به نصب استخراجگرهای ارز مجازی در ماشین‌های آسیب‌پذیر می‌شود، مورد بهره‌برداری قرار گرفته‌ است. این آسیب‌پذیری بحرانی که با شناسه CVE-2019-2725 دنبال می‌شود، یک مسئله deserialization است که منجر به اجرای کد از راه دور احراز هویت نشده می‌شود. این باگ در اواخر ماه آوریل وصله شد و یک هفته بعد کد PoC آن توسط هکرها نوشته شد و مهاجمان شروع به بهره‌برداری از آن در حملات فعال کردند. موسسه SANS در اواخر ماه آوریل هشدار داد که برخی از حملات مربوط به این آسیب‌پذیری شامل استخراجگرهای ارز مجازی می‌شود و Trend Micro هم اکنون این حملات را تأیید می‌کند و طبق گزارش آن‌ها، آنالیزها استفاده از تکنیک‌های مبهم‌سازی را نشان می‌دهد که کدهای مخرب را در داخل فایل‌های گواهی‌نامه پنهان می‌کند. به محض اجرای این فایل‌ها بر روی دستگاه هدف، بدافزار از این آسیب‌پذیری CVE-2019-2725 برای اجرای فرمان‌ها و یک سری روال‌ها بهره‌برداری می‌کند. ابتدا از PowerShell برای دانلود فایل گواهی مخرب از سرور C&C استفاده می‌شود و سپس از ابزار قانونی CertUtil برای رمزگشایی این فایل استفاده می‌شود و بعد با استفاده از PowerShell اجرا می‌شود. در نهایت هم فایل دانلود شده با استفاده از cmd حذف می‌شود. به نظر می‌رسد که فایل گواهی یک فایل گواهی استاندارد با فرمت PEM است، اما به جای فایل فرمت معمولاً استفاده شده X.509 TLS، به صورت یک فرمان PowerShell در می‌آید. این فایل قبل از اجرای فرمان نیاز به دوبار رمزگشایی شدن دارد که غیرعادی است زیرا فرمان داخل اکسپلویت تنها یکبار از CertUtil استفاده می‌کند. هنگام اجرای اکسپلویت، یک اسکریپت PowerShell دیگر دانلود می‌شود که فایل‌های متعدد دیگری را دانلود و اجرا می‌کند: • Sysupdate.exe که استخراجگر ارز مجازی Monero است. • Config.json که فایل پیکربندی این استخراجگر ارز است. • Networkservice.exe که برای اکسپلویت و گسترش در WebLogic استفاده می‌شود. • Update.ps1 که یک اسکریپت PowerShell در حافظه است. • Sysguard.exe که یک watchdog برای فرایند استخراج ارز است. • Clean.bat که کامپوننت‌های دیگر را حذف می‌کند. بعد، فایل update.ps1 حاوی فایل رمزگشایی شده گواهی با فایل جدید update.ps1 جایگزین شده و یک کار برنامه‌ریزی شده برای اجرای اسکریپت PowerShell جدید در هر 30 دقیقه ایجاد می‌شود. طبق گزارش Trend Micro، استفاده از پرونده‌های گواهی برای مبهم‌سازی بدافزارها ایده جدیدی نیست و به مهاجمان اجازه می‌دهد تا از شناسایی شدن فرار کنند و همچنین حملات با استفاده از این تکنیک تاکنون دیده نشده و یا خیلی کم بوده است. با این حال پس از اجرای فرمان PS از فایل گواهی رمزگشایی شده، فایل‌های مخرب دیگر بدون پنهان شدن دانلود می‌شوند و این ممکن است نشان دهد که در حال حاضر این روش مبهم‌سازی درحال آزمایش شدن توسط مهاجمان است و ممکن است در آینده با انواع دیگر بدافزار توسعه داده شده و یا با آن‌ها ترکیب شود.