Для обхода обнаружения вредоносный код прячется в файлах цифровых сертификатов.
Исправленная недавно уязвимость в Oracle WebLogic активно эксплуатируется киберпреступниками для установки на уязвимые серверы майнеров криптовалюты.
Речь идет об уязвимости десериализации (CVE-2019-2725), позволяющей неавторизованному злоумышленнику удаленно выполнять команды. О проблеме стало известно в апреле нынешнего года, когда киберпреступники уже проявляли к ней интерес. Oracle исправила уязвимость в конце того же месяца, однако, по данным Trend Micro, в настоящее время она активно используется в атаках.
Как сообщают исследователи, с помощью уязвимости злоумышленники устанавливают на скомпрометированные машины ПО для майнинга криптовалюты. Для обхода обнаружения они прячут вредоносный код в файлах цифровых сертификатов.
После выполнения на системе вредонос эксплуатирует уязвимость для выполнения команд и ряда задач. Сначала с помощью PowerShell с C&C-сервера загружается файл сертификата, для расшифровки которого используется легитимный инструмент CertUtil. Затем с помощью PowerShell этот файл выполняется на целевой системе и удаляется с помощью cmd.
Сертификат выглядит как обычный сертификат в формате Privacy-Enhanced Mail (PEM), однако имеет форму команды PowerShell вместо привычного формата X.509 TLS. До получения команды файл должен расшифровываться дважды, что весьма необычно, потому что команда эксплоита использует CertUtil только один раз.
Идея использовать файлы сертификатов для обфускации вредоносного кода далеко не нова. Тем не менее, реальные атаки с использованием данного метода ранее не обнаруживались, а если и обнаруживались, то очень редко.
Ладно, не доказали. Но мы работаем над этим