Java Metasploit Payload

CSOC-Event der Woche KW33: Die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke

KW33: CSOC-Event der Woche – Java Metasploit Payload


Durchschnittliche CSOC-Gesamtevents pro Tag
:      35.619
Detektionshäufigkeit CVE-2017-6271:      16

Eventbeschreibung: Java Metasploit Payload

In dieser Woche möchten wir ein Event beschreiben, welches keinen Exploit an sich darstellt, sondern die Konsequenz eines erfolgreich durchgeführten Exploits oder auch einer Phishing-Attacke sein kann. In der Regel versuchen Angreifer, einen direkten Zugriff auf Systeme zu erlangen. Dies kann mithilfe eigens erzeugter Worddokumente oder wie in diesem Fall mittels einer Java-Anwendung passieren.
Das CSOC hat in der vergangenen Woche 16 mal Verbindung zu einem System eines Angreifers feststellen können, die als Konsequenz aus dem Ausführen einer schädlichen Java-Datei entstanden sind. Darüber hinaus handelte es sich um  Verbindungen, die über das Hacker-Framework Metasploit gesteuert werden können. Auf diesem Wege lassen sich Zugriffe sowie Datenübertragen mit dem betroffenen System durchführen.

Der für diese Verbindungen verantwortliche Schadcode wurde über den Datentransfer von Dateien über USB-Sticks in die System eingeschleust.

Technische Beschreibung: Java Metasploit Payload

Ist auf dem betroffenen System eine sog. Java-Runtime-Environment (JRE) installiert, können Dateien vom Typ .jar ausgeführt werden. Diese ausgeführte Datei baut daraufhin eine Verbindung mit dem System des Angreifers auf und gibt ihm die Kontrolle über eine sog. „Reverse-Shell“ – eine Kommandozeile per Remote. Im Rahmen der CSOC-Analysen gestalten sich Dateien vom Typ .jar als unkompliziert, da sie einfach dekompiliert werden können – aus dem Ausführungscode entsteht so wieder der eigentliche Quellcode, der wiederum auf die genaue Funktion der Datei schließen lässt.