Muhstik-Botnetz-Erkennung: Berüchtigte Gruppe taucht mit neuem Verhalten wieder auf und greift Redis-Server an
Inhaltsverzeichnis:
Das Muhstik-Botnetz existiert seit 2018 und erweitert kontinuierlich die Karte seiner Opfer, indem es neue Dienste und Plattformen angreift und sein Angriffsrepertoire diversifiziert, einschließlich Coin-Mining-Aktivitäten, DDoS-Angriffen oder dem Ausnutzen der berüchtigten Schwachstellen in der Log4j-Java-Bibliothek. Diesmal hat die berüchtigte Malware-Gang aktiv eine Lua-Sandbox-Escape-Schwachstelle in Redis ausgenutzt, die als CVE-2022-0543 verfolgt wird.
Erkennen Sie Muhstik-Botnet-Angriffe
Ermitteln Sie, ob Ihr System von Muhstik-Angreifern kompromittiert wurde, mit der folgenden Regel, die von unserem erstklassigen Threat Bounty-Entwickler Emir Erdoganbereitgestellt wird. Die Regel erkennt Download- und Ausführungsversuche des Muhstik-Botnetzes anhand von Prozess-Erstellungsprotokollen:
Muhstik-Botnetz zielt auf Redis-Server ab (via process_creation)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die Taktiken der Ressourcenentwicklung und des Befehls und der Kontrolle mit Infrastruktur Akquirieren (T1583) und Werkzeug-Transfer über halbe Grenzen (T1105) als Haupttechniken.
Drücken Sie die Schaltfläche Alle Anzeigen, um die vollständige Liste der mit der Muhstik-Gang verbundenen Erkennungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform einzusehen.
Möchten Sie sich mit Branchenführern vernetzen und eigene Inhalte entwickeln? Werden Sie Content Contributor bei SOC Primes durch Crowdsourcing-Initiative und teilen Sie Ihre eigenen Sigma- und YARA-Regeln mit der globalen Cybersicherheits-Community, während Sie die kollektive Cyberverteidigung weltweit stärken.
Erkennungen ansehen Threat Bounty beitreten
Analyse des Muhstik-Botnetzes
Die Muhstik-Gang nutzt den neuen Redis-Sandbox-Escape-Fehler aus, der Benutzer betrifft, die Redis unter Debian, Ubuntu und anderen auf Debian basierenden Distributionen betreiben. Die in Rede stehende Schwachstelle wurde letzten Monat entdeckt, verfolgt als CVE-2022-0543, und wurde mit 10 von 10 für die Schwere bewertet. Der Patch ist in der Redis-Paketversion 5.6.0.16.-1 verfügbar.
Clients senden über einen Socket Befehle an einen Redis-Server, und der Server antwortet, indem er seinen Zustand ändert. Die Skript-Engine von Redis ist in der Programmiersprache Lua geschrieben und kann mit dem eval-Befehl verwendet werden. Die Lua-Engine sollte in einer Sandbox ausgeführt werden, was bedeutet, dass Clients mit den Redis-APIs aus Lua kommunizieren können sollten, aber keinen beliebigen Code auf dem Computer ausführen können sollten, auf dem Redis betrieben wird. Der CVE-2022-0543-Fehler ermöglicht es Angreifern, beliebige Lua-Skripte auszuführen und die Lua-Sandbox zu verlassen, um eine Remote-Codeausführung auf dem Zielhost durchzuführen. Danach holen sich Muhstik-Hacker ein bösartiges Shell-Skript „russia.sh“ von einem Remote-Server, das weiter Botnet-Binärdateien (Varianten des Muhstik-Bots) von einem anderen Server herunterladen und ausführen wird.
Beitreten SOC Primes Detection as Code -Plattform, um die Kraft eines kollaborativen Verteidigungsansatzes zu nutzen und wiederkehrende Belohnungen zu ernten. Darüber hinaus hat SOC Prime im Zuge der russischen Invasion in der Ukraine und der steigenden Zahl staatlich geförderter Cyberangriffe, die auf Russland zurückgeführt werden, eine große Sammlung von kostenlosen Sigma-Regeln in unserer Detection as Code-Plattform freigeschaltet. Die Regeln helfen Cybersicherheitspraktikern, die bösartige Aktivität von Russland unterstützten APT-Organisationen zu erkennen und decken die häufigsten Taktiken, Techniken und Verfahren (TTPs) der zugehörigen Gegner ab.
