Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Pahatahtlikud pakkijad PHP paketid

Pahatahtlikud pakkijad PHP paketid

Aastaks Mezo aastal Pahavara
Tõlgi:

Küberturvalisuse analüütikud on Packagistis tuvastanud pahatahtlikke PHP-pakette, mis jäljendavad seaduslikke Laraveli abiraamatukogusid, juurutades samal ajal salaja platvormideülest kaugjuurdepääsu troojalast (RAT). Pahavara töötab sujuvalt Windowsi, macOS-i ja Linuxi keskkondades, tekitades mõjutatud süsteemidele märkimisväärse ohu.

Tuvastatud paketid hõlmavad järgmist:

  • nhattuanbl/lara-helper (37 allalaadimist)
  • nhattuanbl/simple-queue (29 allalaadimist)
  • nhattuanbl/lara-swagger (49 allalaadimist)

Kuigi nhattuanbl/lara-swagger ei sisalda otseselt pahatahtlikku koodi, loetleb see nhattuanbl/lara-helperi Composeri sõltuvusena, mille tulemuseks on manustatud RAT-i installimine. Vaatamata avalikustamisele jäävad need paketid repositooriumis kättesaadavaks ja need tuleks viivitamatult eemaldada mis tahes mõjutatud keskkonnast.

Hämamise taktika varjab pahatahtlikku kavatsust

Põhjalik koodianalüüs näitab, et nii lara-helper kui ka simple-queue sisaldavad faili nimega src/helper.php, mis on loodud tuvastamise vältimiseks. Pahavara sisaldab täiustatud hägustamisstrateegiaid, sealhulgas juhtimisvoo manipuleerimist, kodeeritud domeeninimesid ja käsustringe, varjatud failiteid ning juhuslike muutujate ja funktsioonide identifikaatoreid.

Need tehnikad muudavad staatilise analüüsi märkimisväärselt keerulisemaks ja aitavad pahatahtlikul koormusel mööda hiilida tavapärastest koodiülevaatustest ja automatiseeritud turvaskaneerimise tööriistadest.

Juhtimis- ja kontrollinfrastruktuur võimaldab hosti täielikku ülevõtmist

Pärast käivitamist loob RAT ühenduse käsklus- ja juhtimisserveriga (C2) aadressil helper.leuleu.net pordil 2096. See edastab süsteemi luureandmeid ja läheb püsivasse kuulamisolekusse, oodates edasisi juhiseid. Suhtlus toimub TCP kaudu, kasutades PHP funktsiooni stream_socket_client().

Tagauks toetab laia valikut operaatori antud käske, võimaldades täielikku süsteemi juhtimist. Võimaluste hulka kuuluvad:

  • Automaatsed südamelöögi signaalid iga 60 sekundi järel pingi teel.
  • Süsteemi profileerimisandmete edastamine info kaudu.
  • Shelli käsu täitmine (cmd).
  • PowerShelli käsu täitmine (PowerShell).
  • Taustal käskude täitmine (käivita).
  • Ekraanipilt funktsiooni imagegrabscreen() abil (ekraanipilt).
  • Failide väljafiltreerimine (allalaadimine).
  • Suvaline faili üleslaadimine, mille lugemis-, kirjutamis- ja täitmisõigused on antud kõigile kasutajatele (üleslaadimine).
  • Ühenduse lõpetamine ja väljumine (peatamine).

Usaldusväärsuse maksimeerimiseks kontrollib RAT PHP disable_functions konfiguratsiooni ja valib esimese saadaoleva täitmismeetodi järgmiste hulgast: popen, proc_open, exec, shell_exec, system või passthru. See adaptiivne lähenemine võimaldab tal mööda hiilida tavalistest PHP turvalisuse parandamise meetmetest.

Püsiv taasühendamise mehhanism suurendab riski

Kuigi tuvastatud C2 server hetkel ei reageeri, on pahavara programmeeritud proovima ühendust iga 15 sekundi järel pidevas tsüklis uuesti. See püsivusmehhanism tagab, et ohustatud süsteemid jäävad avatuks, kui ründaja peaks serveri kättesaadavuse taastama.

Iga Laraveli rakendus, mis on installinud lara-helperi või simple-queue, töötab efektiivselt manustatud RAT-iga. Ohu tegijal on täielik kaugjuurdepääs shellile, võime lugeda ja muuta suvalisi faile ning pidev nähtavus iga nakatunud hosti süsteemitaseme üksikasjade kohta.

Täitmise kontekst võimendab mõju

Aktiveerimine toimub automaatselt rakenduse käivitamisel teenusepakkuja kaudu või lihtsa järjekorra puhul klassi automaatse laadimise kaudu. Selle tulemusel käivitub RAT sama protsessi raames kui veebirakendus, pärides identsed failisüsteemi õigused ja keskkonnamuutujad.

See teostuskontekst annab ründajale juurdepääsu tundlikele varadele, nagu andmebaasi mandaadid, API-võtmed ja .env-faili sisu. Seega ulatub kompromiteerimine süsteemi tasemel kontrollist kaugemale, pakkudes täielikku juurdepääsu rakenduse saladustele ja infrastruktuurile.

Usaldusväärsuse suurendamise strateegia puhaste pakettide kaudu

Edasine uurimine näitab, et sama väljaandja avaldas täiendavaid pakette – nhattuanbl/lara-media, nhattuanbl/snooze ja nhattuanbl/syslog –, mis ei sisalda pahatahtlikku koodi. Need näivad olevat mainekujunduse esemed, mille eesmärk on suurendada usaldust ja julgustada relvastatud pakettide kasutuselevõttu.

Kohesed leevendus- ja reageerimismeetmed

Organisatsioonid, kes installisid pahatahtlikke pakette, peaksid eeldama ohtu sattumist. Nõutavad reageeringud hõlmavad mõjutatud teekide viivitamatut eemaldamist, kõigi rakenduskeskkonnast ligipääsetavate volituste vahetamist ja väljamineva võrguliikluse põhjalikku auditit tuvastatud C2-infrastruktuuriga ühenduse loomise katsete suhtes.

Otsustava reageerimise ebaõnnestumine võib muuta süsteemid haavatavaks ründajate uue juurdepääsu suhtes, kui juhtimis- ja kontrollinfrastruktuur taas tööle hakkab.

Trendikas

Enim vaadatud

Laadimine...