Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Gefälschter PoC für Linux-Sicherheitslücke enthält Malware
Rohan Timalsina
Juli 25, 2023 - TuxCare-Expertenteam
Ein gefälschter Proof-of-Concept (PoC)-Exploit, der auf Cybersecurity-Forscher abzielt, ist aufgetaucht, der Malware installiert, um Linux-Passwörter zu stehlen. Die Analysten von Uptycs stießen bei ihren Routine-Scans auf diesen bösartigen PoC, als die Erkennungssysteme verdächtige Aktivitäten anzeigten, darunter unerwartete Netzwerkverbindungen, unbefugte Versuche, auf Systeme zuzugreifen, und ungewöhnliche Datenübertragungen.
Der bösartige gefälschte PoC wurde zunächst in drei Repositories auf GitHub gehostet, die inzwischen jedoch entfernt wurden. Dennoch wurde berichtet, dass der bösartige PoC in der Gemeinschaft der Sicherheitsforscher weit verbreitet wurde, was zu Bedenken hinsichtlich möglicher Infektionen auf zahlreichen Computern führte.
Gefälschte PoC-Details
Der gefälschte PoC scheint ein Exploit für CVE-2023-35829 zu sein, eine kritische Use-after-free-Schwachstelle, die die Linux-Kernel-Versionen vor 6.3.2 betrifft. Bei näherer Betrachtung wird jedoch deutlich, dass dieser PoC in Wirklichkeit ein Duplikat eines älteren, authentischen Exploits ist, der für eine andere Linux-Kernel-Schwachstelle, CVE-2022-34918, gedacht ist.
Der Code verwendet Linux-Namensräume, die dazu dienen, Kernel-Ressourcen abzutrennen und so die Fassade einer Root-Shell zu schaffen. Trotz dieses Anscheins bleiben die Privilegien des PoC auf den Benutzer-Namespace beschränkt.
Das Hauptziel einer solchen Täuschung besteht darin, den Opfern vorzugaukeln, dass das Exploit echt und funktionsfähig ist. Auf diese Weise verschaffen sich die Angreifer mehr Zeit, um uneingeschränkt auf dem angegriffenen System zu operieren.
Bei der Aktivierung erstellt der PoC eine "kworker"-Datei und fügt ihren Pfad an die Datei "/etc/bashrc" an, so dass sie auch nach einem Neustart des Systems erhalten bleibt.
Darüber hinaus stellt der PoC eine Kommunikation mit dem Command-and-Control-Server (C2) des Angreifers her, um ein Linux-Bash-Skript von einer externen URL herunterzuladen und auszuführen. Dieses heruntergeladene Skript ist so konzipiert, dass es auf die Datei "/etc/passwd" zugreift, um wertvolle Daten aus dem System zu stehlen. Außerdem manipuliert es die Datei "~/.ssh/authorized_keys", wodurch der Angreifer unbefugten Fernzugriff auf den Server erlangt. Letztendlich verwendet das Skript "curl", um Daten über "transfer.sh" zu exfiltrieren.
Die gestohlenen Daten umfassen den Benutzernamen des Opfers, den Hostnamen und den Inhalt des Home-Verzeichnisses. Da jedoch der Fernzugriff auf den Server gesichert ist, können die Angreifer nun manuell alle anderen gewünschten Informationen stehlen.
Das Bash-Skript gibt seine Operationen als Prozesse auf Kernel-Ebene aus, um eine Entdeckung zu verhindern, und nutzt dabei die Tatsache aus, dass Systemadministratoren dazu neigen, diesen Einträgen zu vertrauen und sie oft übersehen.
Schlussfolgerung
Uptycs rät Benutzern, die den gefälschten PoC heruntergeladen und ausgeführt haben, nicht autorisierte SSH-Schlüssel zu löschen, die Datei "kworker" und ihren Pfad aus der Datei "bashrc" zu entfernen und die Datei "/tmp/.iCE-unix.pid" auf mögliche Bedrohungen zu überprüfen.
Forscher müssen beim Umgang mit PoCs, die aus dem Internet heruntergeladen wurden, unbedingt Vorsicht walten lassen. Diese PoCs sollten in isolierten und sicheren Umgebungen, wie z. B. virtuellen Maschinen, getestet werden, und ihr Code sollte vor der Ausführung überprüft werden.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.
