攻击者如何利用漏洞后自行修补以潜伏Linux系统
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
Red Canary披露了一起针对云Linux系统的复杂攻击,攻击者利用Apache ActiveMQ中的CVE-2023-46604漏洞入侵,结合恶意软件和自修补技术维持持久性。攻击者通过新型下载器DripDropper与Dropbox通信,并修改SSH配置以获取最高权限,利用合法文件修补漏洞规避检测,增强持久性,并通过公共平台进行命令与控制通信,增加检测难度。
🎯
关键要点
- Red Canary披露了一起针对云Linux系统的复杂攻击,攻击者利用Apache ActiveMQ中的CVE-2023-46604漏洞入侵。
- 攻击者结合已知漏洞、恶意软件和自修补技术来维持持久性并规避检测。
- CVE-2023-46604是一个被广泛利用的漏洞,曾与多个勒索软件和加密货币挖矿程序相关联。
- 攻击者通过修改SSH配置文件获得最高权限,奠定了持久性攻击的基础。
- 识别出一种名为DripDropper的新型下载器,使用硬编码的承载令牌与Dropbox通信。
- DripDropper创建两个恶意文件,执行不同操作并修改SSH配置以实现隐蔽持久化。
- 攻击者通过编辑系统cron作业来强化持久性。
- 攻击者下载合法Apache Maven JAR文件并替换受感染服务器上的易受攻击文件以规避检测。
- 攻击者越来越依赖公共平台进行命令与控制通信,增加了检测的复杂性。
❓
延伸问答
攻击者是如何利用CVE-2023-46604漏洞进行入侵的?
攻击者利用CVE-2023-46604漏洞获取初始访问权限,并部署后期利用框架如Sliver,建立隐蔽通信渠道。
DripDropper下载器的功能是什么?
DripDropper创建两个恶意文件,一个用于执行不同操作,另一个修改SSH配置以实现隐蔽持久化。
攻击者如何通过自修补技术来规避检测?
攻击者下载合法的Apache Maven JAR文件并替换受感染的文件,从而修补系统并规避检测。
攻击者如何获得最高权限以维持持久性?
攻击者通过修改SSH配置文件启用root登录,从而获得最高权限的远程访问能力。
攻击者使用哪些公共平台进行命令与控制通信?
攻击者使用Discord、Telegram和Dropbox等公共平台进行命令与控制通信。
CVE-2023-46604漏洞与哪些恶意软件相关联?
CVE-2023-46604漏洞曾与TellYouThePass、Ransomhub和HelloKitty等勒索软件以及Kinsing加密货币挖矿程序相关联。
➡️
