Untersuchung des Wiederauflebens der Mexals-Kampagne

In dieser Kampagne haben wir eine verbesserte Verschleierung, unauffälligere Dateinamen und nutzerdefinierte Mining-Pool-Proxys gefunden, die in der vorherigen Iteration nicht vorhanden waren. Die Angriffskette beginnt mit dem Brute Forcing der SSH-Anmeldedaten. Dann kommt eine lange Kette verdeckter Payloads, die schließlich einen XMRig-Cryptominer installieren. Eine der installierten Payloads ist ein Wurmmodul, von dem wir glauben, dass es bei diesem Wiederaufleben aktiv beteiligt war.

Wir glauben auch, dass die Angriffsserver der Gruppe in einem niederländischen VPS gehostet werden und dass ihre Opfer über den ganzen Globus verteilt sind. Wir schätzen, dass die Angreifer mehr als 10.000 US-Dollar in XMR-Coins minen konnten.

Abb. 2: Eine Zusammenfassung der verschiedenen Payloads, die von den Angreifern genutzt werden

Wir können den glibc-Quellcode nutzen, um zu verstehen, wie der Einstiegspunkt aussieht. Die eigentliche Hauptfunktion ist die Funktion, die in rdi geladen wird. Wenn wir uns das genauer ansehen, finden wir eine ziemlich spezifische Fehlerzeichenfolge: E: Weder argv[0] noch $_ funktioniert.Nach dieser Zeichenfolge können wir im Internet suchen. Das führt uns zu shc. Leider gibt es keinen einfach verfügbaren Decompiler. Statt Reverse Engineering und der Erstellung eines Decryptors, was zu mühsam wäre, können wir die Payload debuggen und die Ausführung nach einer Sekunde anhalten. Das entschlüsselte Shell-Skript wird sich im Arbeitsspeicher der Malware befinden, den wir dann ausgeben und analysieren können.

Die einzelnen Payloads sind relativ einfach miteinander verbunden – mit verschiedenen Methoden zur Einrichtung des nächsten Glieds in der Kette, zum Beispiel das Beenden von Konkurrenz-Minern oder CPU-intensiven Prozessen, die Bereinigung des Bash-Verlaufs, die Installation von Persistenz und das Herunterladen und Ausführen der nächsten Payload (Abbildung 5).

Der erste Webhook stammt aus einer Funktion namens toDiscord. Er entfernt die Ergebnisse der verschiedenen Profiling-Befehle, die auf dem Zielrechner ausgeführt wurden. Die nächsten beiden Webhooks werden über die Funktionen toAPIlogs und toDisc aufgerufen. Sie entfernen beide die gleichen Informationen: die IP des Ziels sowie den Nutzer und das Passwort, mit denen die Authentifizierung bei diesem Ziel möglich ist.

Schließlich – wenn das Opfer OpenWrt ausführt – wird eine weitere Funktion namens toMirai aufgerufen. Sie sendet die gleichen Informationen an einen weiteren Webhook. Es besteht also eine gewisse Redundanz. Möglicherweise ist der Grund hierfür, dass Angreifer so einfacher verschiedene Metriken verfolgen können. Die Redundanz könnte jedoch auch zur Trennung verschiedener Teile der Angriffskampagne dienen (Mirai als Botnet/IAB im Gegensatz zur normalen Verwendung von Mirai als Cryptominer).

Obwohl es sich um ein kompiliertes Bash-Skript handelt, ist payload interessant, da es mit Kommentaren und Fortschrittsmeldungen durchzogen ist, die uns etwas über die Denkprozesse der Malware-Betreiber lehren können.

Die Kommentare und Fortschrittsmeldungen sind in rumänischer Sprache – das unterstützt die Vermutung, dass die Angreifer aus Rumänien stammen (die Command-and-Control-/Download-Domain der Malware lässt sich buchstäblich mit „Archiv des Hackers“ übersetzen).

Das Skript prüft auch, ob andere bekannte Cryptominer vorhanden sind, und beendet deren Prozesse – darunter auch dhpcd und ksmdx. Das zeigt, dass sich die Angreifer ihres Ökosystems bewusst sind und nicht einfach nur ihr Glück in der Cryptomining-Welt versuchen.

Nachdem Konkurrenten und andere CPU-intensive Prozesse beendet wurden, prüft das Skript, wie viele CPU-Kerne der Computer hat – sind es weniger als vier, installiert das Skript nur History und Update sowie einen Cron-Job für die beiden. (Die beiden ausführbaren Dateien sind für das Herunterladen der Payload aliases verantwortlich und werden nach einem Neustart des betroffenen Computers ausgeführt.) Wenn vier oder mehr Kerne vorhanden sind, lädt das Skript auch .diicot herunter und installiert es. Hierbei handelt es sich um ein kompiliertes Bash-Skript, das einen XMRig-Cryptominer herunterlädt und ausführt.

Wenn acht oder mehr CPU-Kerne vorhanden sind, lädt das Skript auch den LAN-Spreader retea herunter und führt ihn aus.

Das LAN-Spreader-Modul stellt eine neue Fähigkeit in der Kette der Angreifer dar. Es handelt sich um ein weiteres kompiliertes Shell-Skript, das alle im System konfigurierten Nutzer extrahiert und eine Datei namensusrs erstellt. Die Datei wird für einen SSH-Wörterbuchangriff verwendet und wird mit den extrahierten Nutzern und einer hartcodierten Liste mit Standardpasswörtern gefüllt. Anschließend wird ein Netzwerkscanner im LAN-Netzwerk heruntergeladen und ausgeführt, der Maschinen mit offenen SSH-Ports erkennt und die Ausgabe in eine Datei schreibt. Als Nächstes lädt die Datei Network herunter und führt es aus. Hierbei handelt es sich um eine kleinere Version von aliases, die weniger Funktionen bietet. Anstatt eine schädliche Payload zu installieren oder Berichte an einen Discord Webhook zu erstellen, werden die Ausgaben der betroffenen Computer in einer Datei gespeichert, die später von den Angreifern aufgespürt werden kann.

Da die Angreifer eine Wurm-Payload verwenden, lässt sich nur schwer unterscheiden, welche Quell-IPs, die in unseren Bedrohungssensoren erkannt wurden, zur Infrastruktur der Angreifer gehören – und bei welchen es sich um Opfer handelt. In diesem Abschnitt versuchen wir, die Infrastruktur der Angreifer zu analysieren und die tatsächlichen Opfer zu ermitteln. 

Wir haben alle angegriffenen IP-Adressen (50 eindeutige IPs) abgerufen und sie ihrem weltweiten geografischen Standort zugeordnet. Zusätzlich zu den angreifenden IPs fanden wir bei einigen Kunden von Akamai auch Anzeichen für eine Infektion, sodass auch sie in unsere Opferliste aufgenommen wurden. Die geografische Verteilung der Opfer/Infrastruktur ist in Abbildung 7 dargestellt.

Abb. 9: IP-Adressen, von denen wir annehmen, dass sie nicht nur zu Opfern, sondern auch zur Infrastruktur der Angreifer gehören

Vor der Veröffentlichung dieses Blogbeitrags haben wir uns mit den betroffenen Akamai-Kunden in Verbindung gesetzt und Informationen zu den Angriffen sowie zu den ausgenutzten E-Mails erhalten, die für jede angreifende IP-Adresse registriert wurden.

Zusammenfassung

Die Payloadkette, die von den Angreifern eingesetzt wird, ist sicherlich beeindruckend und lässt auf einen ziemlich raffinierten Bedrohungsakteur schließen. Außerdem sehen wir in der Regel keine Payloadketten dieser Länge – wir glauben, dass es mehrere Gründe gibt, warum die Angreifer sich für so viele Payloads entschieden haben.

• Verschleierung: Je mehr Komponenten ein System aufweist, desto schwieriger ist es, es zu analysieren und nachzuverfolgen. Die Tatsache, dass die Binärdateien verschleiert sind, verstärkt diese Hypothese.

• Hinter der Bedrohungsgruppe stecken mehrere Personen: Obwohl uns keine tatsächlichen Informationen über die Bedrohungsakteure hinter der Kampagne vorliegen, haben wir auffällige Codeunterschiede zwischen verschiedenen Mustern der gleichen Skripte gefunden, die wir nur darauf zurückführen können, dass sie von verschiedenen Personen entwickelt wurden.

• Die Malware-Kampagne entwickelt sich im Laufe der Zeit weiter: Das zeigt sich an den neuen Funktionen und der stärkeren Verschleierung, die hinzugefügt wurden, sowie an einigen Redundanzen im Code, die als Grundlage für die zukünftige Verwendung erstellt wurden.

Verbesserungen und Ergänzungen der vorherigen Kampagne

• Packen per UPX und Entfernen des UPX-Headers

• Automatische Updatefunktion wurde aus der Payload in externe Skripte verschoben (History und Update)

• Unauffälligere Dateinamen, die Browser nachahmen (Chrome, Opera )

• Zusätzliche Malware-Berichte über Discord

• OpenWRT-spezifisches Verhalten (und wahrscheinlich kommt noch mehr)

• Einsatz nutzerdefinierter Mining-Pool-Proxys anstelle öffentlicher Pools

Archiv für Verteidiger

Die Malware verfügt über keine neuartige oder ausgeklügelte Technik, um sich selbst zu verbreiten. Sie verwendet einfach einen SSH-Wörterbuchangriff. Daher sind nur Maschinen gefährdet, die über das Internet zugängliche, offene SSH-Ports aufweisen. Das Blockieren von SSH am Netzwerkrand oder das Verschieben hinter ein VPN kann die Risiken solcher Angriffe erheblich verringern.

Darüber hinaus wird durch die Verwendung nicht standardmäßiger Anmeldedaten oder komplizierter Passwörter das Risiko eines Wörterbuchangriffs – wie er von dieser Malware ausgeführt wird – erheblich verringert. Wir empfehlen auch die Verwendung von SSH-Schlüsseln für die Authentifizierung, da diese noch sicherer sind als Passwörter (sie sind unmöglich zu erraten und geheime Schlüssel werden niemals über die Verbindung übertragen).

Zu guter Letzt müssen wir auch das LAN-Spreader-Modul berücksichtigen. Da es SSH für laterale Netzwerkbewegungen verwendet, kann eine Segmentierung Ihres Netzwerks das Risiko sicher mindern. Wenn wir Server, die über das Internet zugänglich sind, als DMZ betrachten, ist es logisch, SSH-Traffic (und im Allgemeinen auch anderen Traffic, der für laterale Netzwerkbewegungen verwendet werden kann, wie RDP, MS-RPC oder WinRM) von der DMZ zum Rest des Netzwerks zu verhindern. Wenn Sie aus irgendeinem Grund einen dieser Server benötigen, um SSH-Zugriff auf das interne Netzwerk zu erhalten (weil er beispielsweise als Jumpbox dient), sollten Sie ihn außerhalb der DMZ und hinter ein VPN verschieben. Achten Sie nur darauf, dass Server nicht über das Internet zugänglich sind, und ermöglichen Sie Angreifern, intern von ihnen zu springen – so reduzieren Sie den Auswirkungsradius und die Ausbreitungspfade.

Wir haben ein GitHub-Repository für Tools erstellt, die Ihnen bei der Erkennung von Infektionen durch diese schädliche Kampagne helfen können. Dort finden Sie ein Bash-Skript, eine vollständige Liste der IoCs und osquery-Abfragen, die Kunden mit Akamai Guardicore Segmentation verwenden können. Sie finden außerdem am Ende dieses Beitrags das Erkennungsskript und eine unvollständige Liste der IoCs .

Zusätzlich zu diesen Tools möchten wir auch eine allgemeine Methode zur Erkennung von Cryptominern empfehlen, die in diesem Fall angewendet werden kann: die Erkennung ausgehenden Traffics zu Mining-Pools durch Untersuchung des Zielports. Die Standardports für Mining-Pools sind manchmal ziemlich eindeutig, weshalb es sich empfiehlt, nach ihnen Ausschau zu halten. Beispiel:

• TCP-Port 4242 ist der Standard-Port für diese Pool-Implementierung.

• TCP-Ports 3333, 5555, 7777, 9000 sind die Standardports in der nodejs-Pool-Implementierung.

Natürlich können Miner auch über HTTP und HTTPS mit ihrem Pool kommunizieren. In diesem Fall wäre die Erkennung viel schwieriger. Trotzdem lohnt es sich, nach diesen Ports Ausschau zu halten.

Indicators of Compromise

Die folgende Liste enthält nur einen Teil der IoCs. Die vollständige Liste wird in unserem GitHub-Repository bereitgestellt.