SOC Prime Bias: Критичний

30 Apr 2026 17:12
newspaper icon Центр Інтернет-Буревію SANS

Libredtail використовує CVE-2024-4577 для криптомайнінгу

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Libredtail використовує CVE-2024-4577 для криптомайнінгу
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

У статті детально описується кампанія кріптовалютного майнінгу, що включає в себе родину шкідливих програм redtail, яка поширюється через HTTP запити, що використовують вразливість CVE-2024-4577 у PHP. Зловмисники відправляють закодовані в Base64 навантаження, які отримують і запускають самовідновлювальний скрипт, названий cve_2024_4577.selfrep. Діяльність направлена на вразливі веб-сервери і супроводжується подальшими спробами входу по SSH, що базуються на використанні стандартних облікових даних для розширення доступу.

Розслідування

Дослідник спостерігав кілька IP-адрес з Німеччини, Великої Британії та Індії, які відправляли послідовність з чотирьох HTTP POST запитів, призначених для переходу до /bin/sh, використання wget or curl для завантаження скрипта оболонки, і активації CVE-2024-4577 експлойта. У разі успіху, атака зберігає приховану .redtail бінарний файл і завершує конкуруючі сервіси кріптовалютного майнінгу, що вже працюють на хості. Розслідування також зафіксувало спроби входу по SSH з використанням облікових даних, таких як admin/admin, разом з активністю сканування SYN.

Запобігання

Організації повинні оновити установки PHP до версій, що вирішують CVE-2024-4577, зробити блокування лібрейділ-HTTP користувацькому агенту на периметрі, і розгорнути правила WAF, які відмовляють в запитах, що містять /sh або відомий шаблон експлойта. Доступ по SSH повинен бути посилений за рахунок впровадження автентифікації на основі ключів та відключення стандартних або слабких облікових даних. Рекомендується також моніторинг підозрілих вихідних трафіків до невідомих IP-адрес.

Відповідь

Коли спрацьовують виявлення, захисникам слід ізолювати уражену систему, зібрати судові артефакти, такі як cve_2024_4577.selfrep скрипт і .redtail бінарний файл, і видалити всі cron завдання або заплановані завдання, створені шкідливим програмним забезпеченням. Команди безпеки повинні потім інвентаризувати програми PHP в усіх середовищах і застосувати необхідні патчі. Логи SSH повинні бути також переглянуті на предмет ознак зловживання обліковими даними або несанкціонованого доступу.

"graph TB %% Клас визначень classDef technique fill:#99ccff %% Вузли – техніки MITRE ATT&CK tech_exploit_app["<b>Техніка</b> – <b>T1190 Використання додатків з публічним доступом</b><br/><b>Опис</b>: Супротивники можуть використовувати додатки з публічним доступом для отримання початкового доступу."] class tech_exploit_app technique tech_content_injection["<b>Техніка</b> – <b>T1659 Впровадження контенту</b><br/><b>Опис</b>: Супротивник впроваджує шкідливий контент, такий як PHP-навантаження, у веб-додаток для досягнення виконання коду."] class tech_content_injection technique tech_deobfuscate["<b>Техніка</b> – <b>T1140 Деобфускація/декодування файлів або інформації</b><br/><b>Опис</b>: Супротивники декодують або деобфускують дані (наприклад, Base64), щоб розкрити команди або навантаження."] class tech_deobfuscate technique tech_unix_shell["<b>Техніка</b> – <b>T1059.004 Оболонка Unix</b><br/><b>Опис</b>: Супротивники використовують оболонку Unix для виконання команд, таких як wget, curl або sh для завантаження та запуску шкідливого коду."] class tech_unix_shell technique tech_hidden_file["<b>Техніка</b> – <b>T1564.001 Приховані файли та директорії</b><br/><b>Опис</b>: Супротивники створюють приховані файли або директорії (наприклад, .redtail) для приховування шкідливих артефактів."] class tech_hidden_file technique tech_compute_hijack["<b>Техніка</b> – <b>T1496.001 Захоплення обчислювальних ресурсів</b><br/><b>Опис</b>: Супротивники захоплюють системні обчислювальні ресурси для несанкціонованого видобутку криптовалюти."] class tech_compute_hijack technique tech_brute_force["<b>Техніка</b> – <b>T1110.001 Підбір паролів</b><br/><b>Опис</b>: Супротивники намагаються підібрати облікові дані (наприклад, SSH admin/admin) для отримання дійсних облікових записів."] class tech_brute_force technique tech_network_discovery["<b>Техніка</b> – <b>T1046 Виявлення мережевих сервісів</b><br/><b>Опис</b>: Супротивники виконують сканування (наприклад, SYN-сканування) для виявлення активних мережевих сервісів та відкритих портів."] class tech_network_discovery technique tech_obfuscate["<b>Техніка</b> – <b>T1027 Обфусковані файли або інформація</b><br/><b>Опис</b>: Супротивники кодують або обфускують файли (наприклад, тіло POST закодоване у Base64), щоб уникнути виявлення."] class tech_obfuscate technique %% З’єднання, що показують потік атаки tech_exploit_app –>|leads_to| tech_content_injection tech_content_injection –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_unix_shell tech_unix_shell –>|leads_to| tech_hidden_file tech_hidden_file –>|leads_to| tech_compute_hijack tech_exploit_app –>|also_triggers| tech_brute_force tech_brute_force –>|leads_to| tech_network_discovery tech_unix_shell –>|enables| tech_obfuscate "

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базового обслуговування повинна бути пройдена.

Підстави: Цей розділ детально описує точне виконання техніки зловмисника (TTP), призначеної для активації правила виявлення. Команди і опис повинні безпосередньо відображати визначені TTP і мати на меті генерувати точну телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Зловмисник отримав плацдарм на скомпрометованому веб-сервері і бажає встановити стійкість, використовуючи Libredtail‑HTTP веб-оболонку. Вони створюють шкідливий HTTP POST, що:

    1. Використовує характерний пользувач-агент libredtail‑http (допомагає шкідливому програмному забезпеченню ідентифікувати власний трафік). Включає URL запит з
    2. Includes a URL query with /bin/sh для вказання запиту на виконання команд і директиву PHP allow_url_include=1 для дозволу віддаленого включення коду.
    3. Відправляє закодоване в base64 навантаження в тілі запиту, яке містить код PHP <?php system($_GET['cmd']); ?> (обфускація – T1027).
    4. Встановлює спеціальний заголовок Виконання скрипта: apache.selfrep який Libredtail‑HTTP використовує всередині для самореплікації (підходить script_execution|contains).

    Сервер, обробляючи цей запит, декодує навантаження, записує шкідливий PHP файл у кореневу директорію і пізніше виконує команди, отримані через /bin/sh, встановлюючи зашифрований канал назад до атакуючого (T1573).

  • Сценарій регресійного тесту:

    #!/usr/bin/env bash
# -------------------------------------------------
# Симуляція шкідливого запиту Libredtail-HTTP
# -------------------------------------------------
TARGET="http://localhost/upload.php"
USER_AGENT="libredtail-http"
MALICIOUS_PAYLOAD=$(echo -n '<?php system($_GET["cmd"]); ?>' | base64)

curl -X POST "$TARGET?dir=/bin/sh&allow_url_include=1" 
     -H "User-Agent: $USER_AGENT" 
     -H "Script-Execution: apache.selfrep" 
     -H "Content-Type: application/x-www-form-urlencoded" 
     --data "payload=$MALICIOUS_PAYLOAD&marker=cve_2024_4577.selfrep"
# Запит повинен створити/перезаписати PHP веб-оболонку на сервері.

    Запустіть скрипт на машині, яка може досягати цільового веб-сервера. Після виконання перевірте, чи відповідне попередження з’явиться в SIEM.

  • Команди прибирання:

    #!/usr/bin/env bash
# Видалення створеної тестом шкідливої PHP веб-оболонки
CLEANUP_TARGET="http://localhost/cleanup.php"

curl -X POST "$CLEANUP_TARGET" 
     -H "User-Agent: libredtail-http" 
     -d "file=uploaded_shell.php"

    Кінцева точка очищення передбачається існувати для цільових тестів; замініть на відповідні команди видалення файлової системи, якщо у вас є прямий доступ до хоста.

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно