Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
L’articolo descrive una campagna di cryptomining che coinvolge la famiglia di malware redtail, la quale viene distribuita tramite richieste HTTP che sfruttano CVE-2024-4577 in PHP. Gli attori malevoli inviano payload codificati in Base64 che recuperano ed eseguono uno script auto-replicante denominato cve_2024_4577.selfrep. L’attività è mirata ai server web vulnerabili ed è accompagnata da tentativi di accesso SSH che si basano su credenziali predefinite per ampliare l’accesso.
Indagine
Il ricercatore ha osservato diversi indirizzi IP dalla Germania, dal Regno Unito e dall’India inviare una sequenza di quattro richieste HTTP POST progettate per passare a /bin/sh, usare wget or curl per scaricare uno script shell e attivare la CVE-2024-4577 sfruttamento. Se riuscito, l’attacco lascia un file binario nascosto .redtail e termina i servizi di cryptomining concorrenti già in esecuzione sull’host. L’indagine ha anche registrato tentativi di accesso SSH usando credenziali come admin/admin, insieme ad attività di scansione SYN.
Mitigazione
Le organizzazioni dovrebbero aggiornare le installazioni PHP a versioni che affrontano CVE-2024-4577, bloccare l’agente utente libredtail-http perimetrale, e distribuire regole WAF che negano le richieste contenenti /sh o il modello noto di payload di exploit. L’accesso SSH dovrebbe essere rafforzato imponendo l’autenticazione basata su chiavi e disabilitando credenziali deboli o predefinite. È anche consigliato monitorare il traffico in uscita sospetto verso indirizzi IP sconosciuti.
Risposta
Quando vengono attivati rilevamenti, i difensori dovrebbero isolare il sistema interessato, raccogliere artefatti forensi come lo cve_2024_4577.selfrep script e il .redtail file binario, e rimuovere qualsiasi cron job o attività pianificate create dal malware. I team di sicurezza dovrebbero quindi inventariare le applicazioni PHP su tutto l’ambiente e applicare le patch necessarie. I log SSH dovrebbero anche essere esaminati per segni di abuso delle credenziali o accessi non autorizzati.
“graph TB
%% Class definitions
classDef technique fill:#99ccff
%% Nodes u2013 MITRE ATT&CK Techniques
tech_exploit_app[“Tecnica – T1190 Sfruttamento di Applicazioni Front-End
Descrizione: Gli avversari possono sfruttare un’applicazione front-end per ottenere l’accesso iniziale.”]
class tech_exploit_app technique
tech_content_injection[“Tecnica – T1659 Iniezione di Contenuti
Descrizione: L’avversario inietta contenuti dannosi come un payload PHP in un’applicazione web per ottenere l’esecuzione del codice.”]
class tech_content_injection technique
tech_deobfuscate[“Tecnica – T1140 Deoffuscare/Decodificare File o Informazioni
Descrizione: Gli avversari decodificano o deoffuscano i dati (ad esempio, Base64) per rivelare comandi o payload.”]
class tech_deobfuscate technique
tech_unix_shell[“Tecnica – T1059.004 Shell Unix
Descrizione: Gli avversari usano una shell Unix per eseguire comandi come wget, curl o sh per scaricare ed eseguire codice dannoso.”]
class tech_unix_shell technique
tech_hidden_file[“Tecnica – T1564.001 File e Directory Nascosti
Descrizione: Gli avversari creano file o directory nascosti (ad esempio, .redtail) per nascondere artefatti dannosi.”]
class tech_hidden_file technique
tech_compute_hijack[“Tecnica – T1496.001 Appropriazione delle Risorse Informatiche
Descrizione: Gli avversari si appropriano delle risorse di calcolo del sistema per eseguire mining di criptovaluta non autorizzato.”]
class tech_compute_hijack technique
tech_brute_force[“Tecnica – T1110.001 Tentativi di Indovinare la Password
Descrizione: Gli avversari tentano di indovinare le credenziali (ad esempio, SSH admin/admin) per ottenere credenziali valide.”]
class tech_brute_force technique
tech_network_discovery[“Tecnica – T1046 Scoperta del Servizio di Rete
Descrizione: Gli avversari eseguono scansioni (ad esempio, scansioni SYN) per scoprire servizi di rete attivi e porte aperte.”]
class tech_network_discovery technique
tech_obfuscate[“Tecnica – T1027 File o Informazioni Offuscati
Descrizione: Gli avversari codificano o altrimenti offuscano i file (ad esempio, il corpo del POST codificato in Base64) per evitare il rilevamento.”]
class tech_obfuscate technique
%% Connections showing attack flow
tech_exploit_app –>|leads_to| tech_content_injection
tech_content_injection –>|leads_to| tech_deobfuscate
tech_deobfuscate –>|leads_to| tech_unix_shell
tech_unix_shell –>|leads_to| tech_hidden_file
tech_hidden_file –>|leads_to| tech_compute_hijack
tech_exploit_app –>|also_triggers| tech_brute_force
tech_brute_force –>|leads_to| tech_network_discovery
tech_unix_shell –>|enables| tech_obfuscate
“
Flusso di Attacco
Rilevamenti
Caricamento/Scaricamento Remoto di File tramite Strumenti Standard (via cmdline)
Visualizza
IOC (SourceIP) da rilevare: Pericolo di Libredtail
Visualizza
IOC (DestinationIP) da rilevare: Pericolo di Libredtail
Visualizza
Rilevamento di Attività Malware Libredtail-HTTP [Webserver]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Telemetria e Baseline Pre-volo deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
Un avversario ha ottenuto una posizione su un server web compromesso e desidera stabilire persistenza utilizzando il Libredtail‑HTTP web‑shell. Creano un HTTP POST dannoso che:- Usa l’agente utente distintivo libredtail‑http (aiuta il malware a identificare il proprio traffico).
- Include una query URL con /bin/sh per indicare una richiesta di esecuzione comandi e la direttiva PHP allow_url_include=1 per consentire l’inclusione di codice remoto.
- Invia un payload codificato in base64 nel corpo della richiesta che contiene il codice PHP
<?php system($_GET['cmd']); ?>(offuscamento – T1027). - Imposta un’intestazione personalizzata Script-Execution: apache.selfrep che Libredtail‑HTTP usa internamente per auto-replicarsi (corrisponde a
script_execution|contains).
Il server, durante l’elaborazione di questa richiesta, decodifica il payload, scrive un file PHP dannoso nella root web e successivamente esegue comandi ricevuti via
/bin/sh, stabilendo un canale crittografato di ritorno all’attaccante (T1573). -
Script di Test Regressivo:
#!/usr/bin/env bash # ------------------------------------------------- # Simulazione di richiesta malevola Libredtail-HTTP # ------------------------------------------------- TARGET="http://localhost/upload.php" USER_AGENT="libredtail-http" MALICIOUS_PAYLOAD=$(echo -n '' | base64) curl -X POST "$TARGET?dir=/bin/sh&allow_url_include=1" -H "User-Agent: $USER_AGENT" -H "Script-Execution: apache.selfrep" -H "Content-Type: application/x-www-form-urlencoded" --data "payload=$MALICIOUS_PAYLOAD&marker=cve_2024_4577.selfrep" # La richiesta dovrebbe creare/sovrascrivere una web‑shell PHP sul server.Esegui lo script su una macchina che può raggiungere il server web di destinazione. Dopo l’esecuzione, verifica che l’allerta scatti nel SIEM.
-
Comandi di Ripristino:
#!/usr/bin/env bash # Rimuovere la web‑shell PHP dannosa creata dal test CLEANUP_TARGET="http://localhost/cleanup.php" curl -X POST "$CLEANUP_TARGET" -H "User-Agent: libredtail-http" -d "file=uploaded_shell.php"L’endpoint di ripristino si presume esista per scopi di test; sostituire con comandi appropriati di rimozione file‑system se si ha accesso diretto all’host.