Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel beschreibt eine Cryptomining-Kampagne, die die Redtail-Malware-Familie beinhaltet, welche durch HTTP-Anfragen ausgeliefert wird, die ausnutzen CVE-2024-4577 in PHP. Bedrohungsakteure senden Base64-kodierte Nutzlasten, die ein sich selbst replizierendes Skript namens cve_2024_4577.selfrepabrufen und ausführen. Die Aktivität zielt auf verwundbare Webserver ab und ist mit nachfolgenden SSH-Anmeldeversuchen verbunden, die auf Standardanmeldedaten setzen, um den Zugang zu erweitern.
Untersuchung
Der Forscher beobachtete mehrere IP-Adressen aus Deutschland, dem Vereinigten Königreich und Indien, die eine Abfolge von vier HTTP-POST-Anfragen sendeten, die darauf abzielen, nach /bin/shzu traversieren, verwenden wget or curl um ein Shell-Skript herunterzuladen und die CVE-2024-4577 Schwachstelle auszunutzen. Wenn erfolgreich, hinterlässt der Angriff eine versteckte .redtail Binärdatei und beendet konkurrierende Cryptomining-Dienste, die bereits auf dem Host laufen. Die Untersuchung erfasste auch SSH-Anmeldeversuche mit Anmeldedaten wie admin/adminneben SYN-Scanning-Aktivitäten.
Abschwächung
Organisationen sollten PHP-Installationen auf Versionen aktualisieren, die CVE-2024-4577beheben, den libredtail-http User-Agent am Perimeter blockieren und WAF-Regeln implementieren, die Anfragen mit enthaltenem /sh oder dem bekannten Exploit-Payload-Muster verweigern. SSH-Zugriff sollte durch Erzwingen der schlüsselbasierten Authentifizierung und Deaktivierung von Standard- oder schwachen Anmeldedaten gehärtet werden. Die Überwachung von verdächtigem ausgehendem Verkehr zu unbekannten IP-Adressen wird ebenfalls empfohlen.
Antwort
Wenn Erkennungen ausgelöst werden, sollten Verteidiger das betroffene System isolieren, forensische Artefakte wie das cve_2024_4577.selfrep Skript und das .redtail Binärdatei sammeln und alle von der Malware erstellten Cron-Jobs oder geplanten Aufgaben entfernen. Sicherheitsteams sollten dann eine Bestandsaufnahme der PHP-Anwendungen in der Umgebung vornehmen und die notwendigen Patches anwenden. SSH-Protokolle sollten auch auf Anzeichen von Anmeldedatenmissbrauch oder unbefugtem Zugriff überprüft werden.
"graph TB %% Klassendefinitionen classDef technique fill:#99ccff %% Knoten – MITRE ATT&CK Techniken tech_exploit_app["<b>Technik</b> – <b>T1190 Ausnutzung einer öffentlich zugänglichen Anwendung</b><br/><b>Beschreibung</b>: Gegner können eine öffentlich zugängliche Anwendung ausnutzen, um anfänglichen Zugang zu erlangen."] class tech_exploit_app technique tech_content_injection["<b>Technik</b> – <b>T1659 Inhaltsinjektion</b><br/><b>Beschreibung</b>: Der Gegner injiziert schädliche Inhalte wie eine PHP-Nutzlast in eine Webanwendung, um Codeausführung zu erreichen."] class tech_content_injection technique tech_deobfuscate["<b>Technik</b> – <b>T1140 Dateien oder Informationen deobfuskieren/dekodieren</b><br/><b>Beschreibung</b>: Gegner dekodieren oder deobfuskieren Daten (z.B. Base64), um Befehle oder Nutzlasten aufzudecken."] class tech_deobfuscate technique tech_unix_shell["<b>Technik</b> – <b>T1059.004 Unix Shell</b><br/><b>Beschreibung</b>: Gegner verwenden eine Unix-Shell, um Befehle wie wget, curl oder sh für das Herunterladen und Ausführen von bösartigem Code auszuführen."] class tech_unix_shell technique tech_hidden_file["<b>Technik</b> – <b>T1564.001 Versteckte Dateien und Verzeichnisse</b><br/><b>Beschreibung</b>: Gegner erstellen versteckte Dateien oder Verzeichnisse (z.B. .redtail), um bösartige Artefakte zu verbergen."] class tech_hidden_file technique tech_compute_hijack["<b>Technik</b> – <b>T1496.001 Computing-Ressourcen-Entführung</b><br/><b>Beschreibung</b>: Gegner entführen Systemcomputing-Ressourcen, um unautorisiertes Cryptomining durchzuführen."] class tech_compute_hijack technique tech_brute_force["<b>Technik</b> – <b>T1110.001 Passwort-Raten</b><br/><b>Beschreibung</b>: Gegner versuchen, Anmeldedaten zu erraten (z.B. SSH admin/admin), um gültige Anmeldedaten zu erhalten."] class tech_brute_force technique tech_network_discovery["<b>Technik</b> – <b>T1046 Netzwerksdienstentdeckung</b><br/><b>Beschreibung</b>: Gegner führen Scans durch (z.B. SYN-Scans), um aktive Netzwerkdienste und offene Ports zu entdecken."] class tech_network_discovery technique tech_obfuscate["<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Gegner kodieren oder verschleiern Dateien (z.B. Base64-kodierter POST-Körper), um Entdeckung zu vermeiden."] class tech_obfuscate technique %% Verbindungen, die den Angriffsfluss zeigen tech_exploit_app –>|führt zu| tech_content_injection tech_content_injection –>|führt zu| tech_deobfuscate tech_deobfuscate –>|führt zu| tech_unix_shell tech_unix_shell –>|führt zu| tech_hidden_file tech_hidden_file –>|führt zu| tech_compute_hijack tech_exploit_app –>|löst auch aus| tech_brute_force tech_brute_force –>|führt zu| tech_network_discovery tech_unix_shell –>|ermöglicht| tech_obfuscate "
Angriffsfluss
Erkennungen
Remote-Datei-Upload / -Download über Standard-Tools (über Befehlszeile)
Anzeigen
IOCs (Quell-IP) zur Erkennung: Gefahr von Libredtail
Anzeigen
IOCs (Ziel-IP) zur Erkennung: Gefahr von Libredtail
Anzeigen
Erkennung von Libredtail-HTTP schädlicher Aktivität [Webserver]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Gegner hat sich Zugriff auf einen kompromittierten Webserver verschafft und möchte die Persistenz mit der Libredtail‑HTTP Web-Shell etablieren. Sie erstellen einen bösartigen HTTP POST, der:- Den charakteristischen libredtail‑http Benutzer-Agent verwendet (hilft der Malware, ihren eigenen Datenverkehr zu identifizieren).
- Einen URL-Query mit einschließt /bin/sh um eine Befehlsausführungsanforderung anzuzeigen und die PHP-Direktive allow_url_include=1 um Remote-Code-Inclusion zu ermöglichen.
- Sendet eine Base64-kodierte Nutzlast im Anfragekörper, die den PHP-Code enthält
<?php system($_GET['cmd']); ?>(Verschleierung – T1027). - Setzt einen benutzerdefinierten Header Script-Execution: apache.selfrep den Libredtail‑HTTP intern zur Selbstreplikation verwendet (entspricht dem
script_execution|contains).
Der Server, wenn er diese Anfrage verarbeitet, dekodiert die Nutzlast, schreibt eine bösartige PHP-Datei in das Webroot und führt später Befehle aus, die über
/bin/sherhalten werden und etabliert einen verschlüsselten Kanal zurück zum Angreifer (T1573). -
Regressionstest-Skript:
#!/usr/bin/env bash # ------------------------------------------------- # Libredtail-HTTP bösartige Anfrage-Simulation # ------------------------------------------------- TARGET="http://localhost/upload.php" USER_AGENT="libredtail-http" MALICIOUS_PAYLOAD=$(echo -n '<?php system($_GET["cmd"]); ?>' | base64) curl -X POST "$TARGET?dir=/bin/sh&allow_url_include=1" -H "User-Agent: $USER_AGENT" -H "Script-Execution: apache.selfrep" -H "Content-Type: application/x-www-form-urlencoded" --data "payload=$MALICIOUS_PAYLOAD&marker=cve_2024_4577.selfrep" # Die Anfrage sollte eine PHP-Web-Shell auf dem Server erstellen/überschreiben.Das Skript auf einer Maschine ausführen, die den Zielwebserver erreichen kann. Nach der Ausführung überprüfen, ob der Alarm im SIEM ausgelöst wird.
-
Bereinigungsbefehle:
#!/usr/bin/env bash # Entfernen der bösartigen PHP-Web-Shell, die durch den Test erstellt wurde CLEANUP_TARGET="http://localhost/cleanup.php" curl -X POST "$CLEANUP_TARGET" -H "User-Agent: libredtail-http" -d "file=uploaded_shell.php"Der Bereinigung-Endpunkt wird zu Testzwecken angenommen; ggf. durch geeignete Datei-System-Entfernungsbefehle ersetzen, wenn direkter Hostzugriff vorhanden ist.