Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý PHP balíkovač

Škodlivý PHP balíkovač

Do roku Mezo v roku Malvér
Preložiť do:

Analytici kybernetickej bezpečnosti identifikovali na platforme Packagist škodlivé balíky PHP, ktoré sa vydávajú za legitímne pomocné knižnice Laravelu a zároveň skryto nasadzujú trójskeho koňa pre vzdialený prístup (RAT) pre rôzne platformy. Tento malvér funguje bezproblémovo v prostrediach Windows, macOS a Linux, čo predstavuje značné riziko pre postihnuté systémy.

Medzi identifikované balíky patria:

  • nhattuanbl/lara-helper (37 stiahnutí)
  • nhattuanbl/simple-queue (29 stiahnutí)
  • nhattuanbl/lara-swagger (49 stiahnutí)

Hoci nhattuanbl/lara-swagger priamo neobsahuje škodlivý kód, uvádza nhattuanbl/lara-helper ako závislosť Composera, čo má za následok inštaláciu vloženého RAT. Napriek zverejneniu zostávajú tieto balíky v repozitári dostupné a mali by byť okamžite odstránené z akéhokoľvek postihnutého prostredia.

Taktiky zahmlievania zakrývajú zlomyseľný úmysel

Podrobná analýza kódu ukazuje, že súbory lara-helper aj simple-queue obsahujú súbor s názvom src/helper.php, ktorý je navrhnutý tak, aby sa vyhol detekcii. Malvér obsahuje pokročilé stratégie zahmlievania vrátane manipulácie s tokom riadenia, kódovaných názvov domén a reťazcov príkazov, skrytých ciest k súborom a náhodných identifikátorov premenných a funkcií.

Tieto techniky výrazne komplikujú statickú analýzu a pomáhajú škodlivému obsahu obísť konvenčné nástroje na kontrolu kódu a automatizované nástroje na bezpečnostné skenovanie.

Infraštruktúra velenia a riadenia umožňuje úplné prevzatie hostiteľa

Po spustení RAT nadviaže spojenie so serverom velenia a riadenia (C2) na adrese helper.leuleu.net na porte 2096. Prenesie dáta zo systémového prieskumu a prejde do stavu trvalého počúvania, kde čaká na ďalšie pokyny. Komunikácia prebieha cez TCP pomocou funkcie stream_socket_client() v PHP.

Zadné vrátka podporujú širokú škálu príkazov vydávaných operátorom, čo umožňuje plnú kontrolu nad systémom. Medzi možnosti patria:

  • Automatický srdcový tep signalizuje každých 60 sekúnd prostredníctvom príkazu ping.
  • Prenos údajov o profilovaní systému prostredníctvom informácií.
  • Vykonanie príkazu shellu (cmd).
  • Vykonanie príkazu PowerShell (powershell).
  • Vykonanie príkazu na pozadí (run).
  • Snímka obrazovky pomocou funkcie imagegrabscreen() (snímka obrazovky).
  • Exfiltrácia súborov (stiahnutie).
  • Nahrávanie ľubovoľného súboru s oprávneniami na čítanie, zápis a vykonávanie udelenými všetkým používateľom (nahrávanie).
  • Ukončenie a ukončenie spojenia (stop).

Pre maximalizáciu spoľahlivosti RAT kontroluje konfiguráciu PHP disable_functions a vyberá prvú dostupnú metódu vykonávania z nasledujúcich: popen, proc_open, exec, shell_exec, system alebo passthru. Tento adaptívny prístup umožňuje obísť bežné opatrenia na zvýšenie bezpečnosti PHP.

Mechanizmus trvalého opätovného pripojenia zvyšuje riziko

Hoci identifikovaný server C2 momentálne nereaguje, malvér je naprogramovaný tak, aby sa pokúšal o pripojenie každých 15 sekúnd v nepretržitej slučke. Tento mechanizmus perzistencie zabezpečuje, že napadnuté systémy zostanú vystavené, ak útočník obnoví dostupnosť servera.

Akákoľvek Laravel aplikácia, ktorá má nainštalovaný lara-helper alebo simple-queue, efektívne funguje s vloženým RAT. Útočník získava plný vzdialený prístup k shellu, možnosť čítať a upravovať ľubovoľné súbory a nepretržitý prehľad o detailoch na systémovej úrovni pre každý infikovaný hostiteľ.

Kontext vykonávania zosilňuje vplyv

Aktivácia prebieha automaticky počas spúšťania aplikácie prostredníctvom poskytovateľa služieb alebo prostredníctvom automatického načítavania tried v prípade simple-queue. V dôsledku toho sa RAT spúšťa v rámci toho istého procesu ako webová aplikácia a dedí identické oprávnenia súborového systému a premenné prostredia.

Tento kontext vykonávania poskytuje útočníkovi prístup k citlivým aktívam, ako sú napríklad prihlasovacie údaje k databáze, kľúče API a obsah súboru .env. Kompromitácia sa preto rozširuje nad rámec kontroly na úrovni systému a zahŕňa úplné odhalenie tajomstiev aplikácií a prístupu k infraštruktúre.

Stratégia budovania dôveryhodnosti prostredníctvom čistých balíkov

Ďalšie vyšetrovanie odhalilo, že ten istý vydavateľ vydal ďalšie balíky – nhattuanbl/lara-media, nhattuanbl/snooze a nhattuanbl/syslog – ktoré neobsahujú škodlivý kód. Zdá sa, že slúžia ako artefakty na budovanie reputácie, ktorých cieľom je zvýšiť dôveru a povzbudiť k prijatiu týchto vylepšených balíkov.

Okamžité zmierňujúce a reakčné opatrenia

Organizácie, ktoré nainštalovali ktorýkoľvek zo škodlivých balíkov, by mali predpokladať kompromitáciu. Medzi požadované reakcie patrí okamžité odstránenie postihnutých knižníc, rotácia všetkých prihlasovacích údajov prístupných z aplikačného prostredia a dôkladný audit odchádzajúcej sieťovej prevádzky pre pokusy o pripojenie k identifikovanej infraštruktúre C2.

Ak sa rozhodne nereaguje, systémy sa môžu stať zraniteľnými voči obnovenému prístupu útočníkov, ak sa infraštruktúra velenia a riadenia opäť uvedie do prevádzky.

Trendy

Najviac videné

Načítava...