Desktop Central服务器RCE漏洞在野攻击分析
0x01 漏洞披露
在研究Desktop Central漏洞的过程中,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了DesktopCentral的RCE漏洞。
Zoho ManageEngine Desktop Central10允许远程执行代码,漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化,此漏洞和CewolfServlet,MDMLogUploaderServletServlet有关。
对CVE-2020-10189的研究还显示,可以在Shodan上搜索易受攻击的Desktop Central服务器。
图2-在Shodan上可搜索的易受攻击的Desktop Central服务器
在公网发现的威胁是有可疑的PowerShell下载通讯录,该通讯录包含下载文件的说明。
最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令,以下载install.bat并storesyncsvc.dll到C:\Windows\Temp,然后立即执行install.bat(图3)。
图3-可疑的PowerShell下载命令
该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。(图4)。
图4-Install.bat的内容
在运行PowerShell命令后,我们观察到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service(图5)的新服务。
图5-安装Storage Sync Service
VirusTotal上的查询结果表明,一些检测引擎已经归类storesyncsvc.dll为恶意软件。
https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details
0x02 利用过程跟踪识别漏洞利用
此RCE漏洞已于2020年3月5日通过Twitter公开。
回顾Sysmon流程创建事件,表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是负责执行PowerShellDownload命令的流程(图6)。
图6-ParentImage负责PowerShell的下载
查看内存中的进程,我们还观察到Desktop Central java.exe应用程序cmd.exe和2.exe之间的父/子进程关系(图7)。
图7- java.exe父/子进程关系
0x03 利用文件系统识别漏洞利用
为了进一步验证我们的理论,我们将从受影响的DesktopCentral服务器收集的信息与已发布的POC进行了比较,确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。
通过文件系统时间轴分析,我们确定遍历文件写可能已在具有文件名_chart(图8)和logger.zip(图9)的系统上发生 。
图8- _chart文件系统分析
图9- logger.zip文件系统分析
这些文件名也在@Steventseeley发布的POC中进行了引用(图10)。
图10-POC中对_chart和logger.zip的引用,参考:https ://srcincite.io/pocs/src-2020-0011.py.txt
0x04 引入系统命令
在随后的流程创建日志中,cmd.exe使用certutil.exe命令来下载和执行2.exe(图11),进一步的分析表明,很有可能2.exe可能是C2工具Cobalt Strike的一部分。
图11-Certutil命令
OSINT透露2.exe已被VirusTotal上的多个检测引擎识别为恶意软件:https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details
利用app.any.run沙箱(图12)和对恶意软件的内存分析,进一步证实2.exe托管Cobalt Strike Beacon payload的可能性。
图12- 2.exe被判定为恶意软件
https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6
我们对已知恶意软件2.exe所使用的所有内存段进行了yara扫描,yara扫描结果进一步支持了2.exe在其他几种可能的恶意软件签名的理论(图13)。
图13-Yarascan扫描结果
利用Volatility的恶意插件,我们确定了几个可能存在代码注入迹象的内存部分,我们对另一个由malfind转储的内存段进行了yara扫描,进一步证实了我们的猜想。
在下面的记录中可以看到整个过程(图14)。
(原文中查看完整过程)
图14-Yarascan验证结果
然后,我们检查了malfind的输出以获得代码注入的证据,并确定了其中的可疑内存部分svchost.exe(图15)。OSINT的研究使我们找到了一位研究人员,该研究人员对恶意软件进行了逆向,并找到了负责向其中注入代码的部分svchost.exe(图16)。
图15-对包含注入代码的svchost的分析
图16-@VK_Intel的分析显示了可能的注入功能
参考:
在攻击结束后,我们观察到了恶意的Bitsadmin命令,其中包含install.bat从66.42.96.220可疑端口12345进行转移的指令。
我们的分析师观察到,bitsadmin命令正在DesktopCentral服务器上运行,该命令包含在PowerShell下载命令中调用的相同IP地址,端口和相同的install.bat文件(图17)。
图17-Bitsadmin命令
0x05 访问凭证
我们还观察到了潜在的凭证访问活动。攻击者执行凭据转储的常用技术是使用恶意进程(SourceImage)访问另一个进程(TargetImage),最常见的是将lsass.exe作为目标,因为它通常包含敏感信息,例如帐户凭据。
在这里,我们观察到SourceImage 2.exe访问TargetImage lsass.exe(图18)。Cobalt StrikeBeacon包含类似于Mimikatz的本机凭证转储功能,使用此功能的唯一必要条件是攻击者具有的SYSTEM特权,以下事件提供了充分的证据证明凭证访问的风险很高。
图18- 2.exe访问lsass.exe
在对这种入侵进行分析的过程中,我们向Eric Zimmerman的KAPE工具添加了一些收集目标功能,以将相关日志添加到分类工作中。
工具地址:https://binaryforay.blogspot.com/2019/02/introducing-kape.html
针对相关日志的用法示例:
kape.exe --tsource C: --tdest c:\temp\tout --tflush --target ManageEngineLogs
Sigma项目的Florian Roth创建了一个签名来检测攻击者利用的某些技术:
https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml
我们对该攻击的分析还发现,在进程创建日志中基于命令行活动进行检测将很有价值:
ParentImage | endswith: 'DesktopCentral_Server\jre\bin\java.exe' CommandLine | contains: '*powershell*' '*certutil*' '*bitsadmin*'
0x06 IOCs
·Storesyncsvc.dll
· MD5: 5909983db4d9023e4098e56361c96a6f
·SHA256:f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c
·Install.bat
· MD5: 7966c2c546b71e800397a67f942858d0
·SHA256:de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc
·2.exe
· MD5: 3e856162c36b532925c8226b4ed3481c
·SHA256:d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309
·66[.]42[.]98[.]220
·91[.]208[.]184[.]78
·74[.]82[.]201[.]8
推荐系统
雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载
系统大小:0MB系统类型:WinXP雨林木风在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业知名品牌,雨林木风WindowsXP其系统口碑得到许多人认可,积累了广大的用户群体,是一款稳定流畅的系统,雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载,有需要的朋友速度下载吧。
系统等级:进入下载 >萝卜家园win7纯净版 ghost系统下载 x64 联想电脑专用
系统大小:0MB系统类型:Win7萝卜家园win7纯净版是款非常纯净的win7系统,此版本优化更新了大量的驱动,帮助用户们进行舒适的使用,更加的适合家庭办公的使用,方便用户,有需要的用户们快来下载安装吧。
系统等级:进入下载 >雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载
系统大小:1.01GB系统类型:WinXP雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载,雨林木风WinXP系统技术积累雄厚深耕多年,采用了新的系统功能和硬件驱动,可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,加固了系统安全策略,运行环境安全可靠稳定。
系统等级:进入下载 >萝卜家园win10企业版 免激活密钥 激活工具 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,(win10企业版,win10 ghost,win10镜像),萝卜家园win10企业版 免激活密钥 激活工具 ghost镜像 X64位系统下载,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园
系统等级:进入下载 >萝卜家园windows10游戏版 win10游戏专业版 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园windows10游戏版 win10游戏专业版 ghost X64位 系统下载,萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园win10国内镜像版,基于国内用户的习惯,做
系统等级:进入下载 >windows11下载 萝卜家园win11专业版 X64位 V2023官网下载
系统大小:0MB系统类型:Win11萝卜家园在系统方面技术积累雄厚深耕多年,windows11下载 萝卜家园win11专业版 X64位 官网正式版可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,使得软件在WINDOWS11系统中运行得更加流畅,加固了系统安全策略,WINDOWS11系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。
系统等级:进入下载 >
相关文章
- 如何解决锐龙2200g死机蓝屏
- Win8.1本地搜索为什么无法使用
- Win8.1无线网络不稳定/掉线怎么办
- 电脑机箱漏电怎么消除?电脑机箱漏电是哪里的问题?
- 电脑开不了机怎么办?电脑无法开机怎么解决?
- 硬盘双击无法打开的问题该怎么办
- 风行下载速度慢甚至是为0怎么办?风行播放器下载问题及解决方法汇总
- 苹果回应新的iOS恶意软件YiSpector:已在iOS8.4中解决该问题
- 没有路由器怎么连无线 160wifi 解决没有路由器连接无线问题
- 维棠FLV下载视频失败问题汇总及解决方法
- Word2016 出现“此功能看似已中断 并需要修复”问题解决方案(图文)
- Cisco管理的35个常见问题及解答
- NanoStudio怎么用?NanoStudio使用方法及常见问题
- IE浏览器登录网上银行时出现崩溃问题的解决办法
热门系统
推荐软件
推荐应用
推荐游戏
热门文章
常用系统
- 1win11最新娱乐版下载 技术员联盟x64位 ghost系统 ISO镜像 v2023
- 2电脑公司windows7纯净版 ghost x64位 v2022.05 官网镜像下载
- 3外星人系统Win11稳定版系统下载 windows11 64位稳定版Ghost V2022
- 4win11一键装机小白版下载 外星人系统 x64位纯净版下载 笔记本专用
- 5萝卜家园Ghost win10 64位中文版专业版系统下载 windows10纯净专业版下载
- 6【国庆特别版】番茄花园Windows11高性能专业版ghost系统 ISO镜像下载
- 7青苹果系统 GHOST WIN7 SP1 X64 专业优化版 V2024
- 8深度技术ghost win7纯净版最新下载 大神装机版 ISO镜像下载
- 9雨林木风windows11中文版免激活 ghost镜像 V2022.04下载