Ausnutzen von Server-Schwachstellen für Krypto-Gewinne
Eine Gruppe von Sicherheitsexperten hat die Taktiken der 8220 Gang verdeutlicht und ihre Kryptowährung-Mining-Systeme offenbart, die Schwachstellen in Oracle WebLogic Servern ausnutzen. Trend Micro, ein prominentes Cybersicherheitsunternehmen, hat den Betriebsstil einer Einheit identifiziert, die sie Water Sigbin genannt haben. Die Gruppe ist berüchtigt dafür, spezifische Sicherheitslücken wie CVE-2017-3506, CVE-2017-10271 und die neuerliche CVE-2023-21839 auszunutzen, um Mining-Malware zu implementieren.
Die Vorgehensweise von Water Sigbin zeichnet sich durch Heimlichkeit aus, da sie raffinierte Dateilose-Ausführungsmethoden verwenden. Diese Prozesse beinhalten DLL-reflektierende und Prozessinjektionen, die es der Malware ermöglichen, direkt im Speicher des Computers zu arbeiten und so übliche Erkennungsmethoden zu umgehen, die auf der Anwesenheit von Dateien auf der Festplatte basieren.
Geschickte Tarnung und Ausweichtechniken
Nachdem sie auf dem angegriffenen Server präsent sind, startet Water Sigbin ein PowerShell-Skript, um einen mehrstufigen Angriffsprozess einzuleiten, indem sie ihre Aktionen geschickt unter den Namen legitimer Anwendungen verbergen. Die Angriffskette setzt sich fort mit der Implementierung einer getarnten Binärdatei, die das Ausführen einer DLL auslöst. Dieser Zwischenagent, bekannt als PureCrypter, ist damit beauftragt, Systeminformationen zu sammeln, den Krypto-Miner einzurichten und gleichzeitig Anstrengungen zu unternehmen, um ihn für das Defender-Antivirenprogramm von Microsoft unsichtbar zu machen.
Weitere Interaktionen mit einem entfernten Server für Befehl und Kontrolle ermöglichen es der Malware, verschlüsselte Anweisungen zu erhalten, die das Abrufen und Ausführen des Krypto-Mining-Bestandteils erleichtern. Dieser Mining-Bestandteil wird geschickt getarnt als echtes Microsoft-Programm, um nicht erkannt zu werden.
Verteilung von Kollateralschadsoftware durch 8220 Gang
In einer interessanten Wendung hat das QiAnXin XLab-Team kürzlich ein neues Tool entdeckt, das von derselben Gang verwendet wird, als k4spreader bezeichnet, um eine Vielzahl bösartiger Nutzlasten zu verteilen, darunter das Tsunami-DDoS-Botnetz und den PwnRig-Miner. Diese multifunktionale Malware, die sich noch in der Entwicklung befindet, nutzt ähnliche Schwachstellen aus, um sich zu verbreiten, und verfügt über Funktionen wie Selbstschutz, Aktualisierung und das Abschalten anderer konkurrierender Botnetze.
Die fortlaufende Entwicklung und Verfeinerung von Tools wie k4spreader deuten auf die fortwährende Bedrohung hin, die von Gruppen wie der 8220 Gang für verwundbare Server und Systeme weltweit ausgeht.
Verständnis der Risiken und Auswirkungen von WebLogic-Serverangriffen
Oracle WebLogic Server werden weitläufig für die Erstellung und Bereitstellung von Unternehmensanwendungen verwendet. Die von Water Sigbin ausgenutzten Schwachstellen können einem Angreifer ermöglichen, beliebigen Code aus der Ferne auszuführen, was zu einer vollständigen Übernahme des Systems, Diebstahl von Daten, Störung von Diensten und in diesem Fall zu Kryptowährungs-Mining führen kann. Angreifer suchen oft nach solchen hochwertigen Zielen, da sie erhebliche Rechenressourcen besitzen, die effektiv zum Mining von Kryptowährungen genutzt werden können.
Kryptowährung-Mining, obwohl scheinbar harmlos im Vergleich zu Diebstahl oder Spionage, kann für Organisationen erhebliche finanzielle Verluste verursachen. Es verbraucht enorme Mengen an Rechenleistung und Strom, was zu erhöhten Betriebskosten führt. Darüber hinaus kann die Anwesenheit eines Miners die Leistung und Stabilität von wichtigen Geschäftsanwendungen beeinträchtigen.
Ausdauernde Herausforderung durch Krypto-Mining-Malware
Die wichtigsten Fragen, die mit diesem Thema in Verbindung stehen, sind:
– Wie können Organisationen Dateilose-Malware-Angriffe erkennen und verhindern?: Die Erkennung ist aufgrund der Ausweichtechniken der Malware schwierig. Lösungen umfassen die Verbesserung von verhaltensbasierten Erkennungsmechanismen und den Einsatz fortschrittlicher Bedrohungsschutzsysteme, die In-Memory-Aktivitäten überwachen.
– Welche bewährten Methoden gibt es zur Patchung und Absicherung von WebLogic-Servern?: Regelmäßiges Anwenden von Sicherheitspatches, die von Oracle bereitgestellt werden, und die Durchsetzung strenger Zugriffskontrollen können die Risiken mindern. Organisationen sollten auch regelmäßige Audits durchführen und den Netzwerkverkehr auf Anzeichen von Eindringen überwachen.
– Was ist die Bedeutung der Verwendung von DLL-reflektierenden und Prozessinjektionsmethoden?: Diese Techniken erlauben es dem Angreifer, bösartigen Code im Speicher auszuführen, ohne Spuren auf dem Dateisystem zu hinterlassen, was die Erkennung und Forensik erschwert.
Die Hauptschwierigkeit im Umgang mit solchen Sicherheitsbedrohungen besteht darin, mit dem Tempo Schritt zu halten, in dem neue Schwachstellen und Malware-Varianten entwickelt werden. Darüber hinaus tun sich Organisationen oft schwer mit dem Gleichgewicht zwischen Betriebskontinuität und der für das Anwenden von Patches und Updates erforderlichen Ausfallzeit.
Vor- und Nachteile
Vorteile effektiver Sicherheitsmaßnahmen umfassen den Schutz sensibler Daten, die Aufrechterhaltung der Serverintegrität und die Verhinderung der unbefugten Ressourcennutzung für Krypto-Mining. Allerdings können strikte Sicherheitsmaßnahmen zu erhöhtem Verwaltungsaufwand führen und im Zweifelsfall kritische Dienste unterbrechen, wenn sie nicht ordnungsgemäß verwaltet werden.
Wenn Sie mehr über die Cybersicherheits-Einblicke von Trend Micro erfahren möchten, besuchen Sie deren Website unter Trend Micro. Für Informationen zu den neuesten Sicherheitswarnungen und Patches für Oracle WebLogic Server besuchen Sie die offizielle Oracle-Website unter Oracle.
Kontroversen können entstehen aus dem Gleichgewicht zwischen dem aktuellen Stand der Patches und der Praktikabilität, dies in komplexen Unternehmensumgebungen durchzuführen, wo Veränderungen neue Probleme oder Ausfallzeiten verursachen können. Trotz dieser Herausforderungen macht die fortlaufende Bedrohung durch solche raffinierten Angriffe es zwingend notwendig, dass Organisationen strenge Cybersicherheitspraktiken beibehalten.
The source of the article is from the blog elblog.pl