技術支援
文件
登錄
聯繫我們
適用於Linux的虛假PoC漏洞包含惡意軟體
羅漢·蒂瑪律西納
實施期間: 2023年7月25 日 - TuxCare專家團隊
針對網路安全研究人員的虛假概念驗證(PoC)漏洞已經出現,該漏洞安裝了旨在竊取Linux密碼的惡意軟體。 Uptycs 分析師在常規掃描期間偶然發現了這種惡意 PoC,當時檢測系統標記了可疑活動,包括意外的網路連接、未經授權的系統訪問嘗試和異常數據傳輸。
惡意的虛假PoC最初託管在 GitHub上的三個存儲庫中,但後來它們已被刪除。儘管如此,據報導,惡意PoC已在安全研究人員社區中廣泛傳播,引發了對許多計算機上潛在感染的擔憂。
假訂單詳細資訊
偽造的 PoC 似乎是針對 CVE-2023-35829 的漏洞,CVE-2023-35829 是一個影響 6.3.2 之前的 Linux 內核版本的關鍵釋放後使用漏洞。但是,經過仔細檢查,很明顯,此 PoC 實際上是針對不同 Linux 內核漏洞 CVE-2022-34918 的較舊真實漏洞的複製品。
該代碼使用Linux命名空間,用於隔離內核資源,創建根外殼的外觀。儘管出現這種情況,但 PoC 的許可權仍限制在使用者命名空間中。
使用這種欺騙的主要目的是說服受害者相信該漏洞是真實和有效的。通過這樣做,攻擊者為自己爭取了更多時間在受感染的系統上不受限制地進行操作。
啟動后,PoC 會創建一個“kworker”檔並將其路徑附加到“/etc/bashrc”檔案,從而確保即使在系統重新啟動後也能保持持久性。
此外,PoC 與攻擊者的命令和控制 (C2) 伺服器建立通信,以從外部 URL 下載和執行 Linux bash 腳本。這個下載的腳本旨在訪問“/etc/passwd”檔,以從系統中竊取有價值的數據。此外,它還操縱“~/.ssh/authorized_keys”文件,允許攻擊者未經授權遠端訪問伺服器。最終,腳本使用「curl」來洩露「transfer.sh」的數據。
被盜數據包括受害者的使用者名、主機名及其主目錄的內容。但是,通過保護對伺服器的遠端訪問,攻擊者現在可以手動竊取任何其他所需的資訊。
bash 腳本將其操作設置為內核級進程以防止檢測,利用 系統管理員 傾向於信任這些條目並經常忽略它們的事實。
結論
Uptycs建議下載並執行虛假PoC的使用者刪除未經授權的SSH密鑰,從“bashrc”檔中刪除“kworker”檔及其路徑,並檢查“/tmp/.iCE-unix.pid”檔是否存在潛在威脅。
研究人員在處理從互聯網下載的PoC時要謹慎至關重要。這些 PoC 應在隔離且安全的環境(如虛擬機)中進行測試,並且最好在執行前檢查其代碼。
本文的來源包括 來自BleepingComputer的故事。
