[하루한줄] FreakOut : from three CVEs to IRC botnet

URL

Leveraging Newest Vulnerabilities for creating a Botnet

Target

아래 세 프로그램 중 하나라도 사용하고 있는 시스템

  • TerraMaster TOS < 4.2.06

  • Zend Framework > 3.0.0

  • Liferay Portal < 7.2.1 CE GA2

Explain

Check Point는 FreakOut이라는 공격과 공격에 사용되는 악성 프로그램 out.py에 대한 정보를 공개했습니다. FreakOut은 아래 세 가지 CVE를 사용해 타겟 시스템에 out.py라는 악성 파이썬 스크립트를 설치하고 실행합니다.

  • CVE-2020-28188

    TerraMaster TOS(TerraMaster NAS 서버 관리용 운영체제)에서 발견된 RCE 취약점입니다. /include/makecvs.phpevent파라미터의 검증 미흡으로 OS commend injection이 가능합니다.

  • CVE-2021-3007

    Zend Framework(PHP로 만들어진 웹앱 혹은 서비스를 위한 package)에서 발견된 RCE 취약점입니다. __destruct 메소드와 관련된 객체를 컨트롤할 수 있다면 deserializtion 취약점을 통한 원격 코드 실행까지 이어질 수 있습니다. FreakOut은 callback파라미터 값을 통해 해당 취약점을 악용합니다.

  • CVE-2020-7961

    Liferay Portal(Java로 작성된 웹앱 플랫폼)에서 발견된 RCE 취약점입니다. JSONWS(Json web service)에 존재하는 untrusted data에 대한 Java unmarshalling 취약점을 악용해 원격 코드 실행을 할 수 있습니다.

타겟 시스템에 설치된 out.py는 설치될 때마다 다른 방식으로 난독화됩니다. out.py에 감염된 시스템은 IRC를 통해 원격으로 조작할 수 있는 봇넷에 추가되고 아래 2가지 행위에 사용됩니다.

  1. 추가 감염을 위한 공격서버
  2. 코인 마이닝 서버