针对 Adob​​e ColdFusion 漏洞的多种威胁

2023年 9月 21日 71.9k 0

受影响的平台: Windows 和 macOS

受影响方: Adobe ColdFusion 易受攻击版本的用户

影响:远程攻击者获得对易受攻击系统的控制

严重级别:严重

今年 7 月,Adobe 发布了一系列安全更新: APSB23-40 、 APSB23-41 和 APSB23-47 ,以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行 (RCE )漏洞的利用报告。Project Discovery 已记录了对这些漏洞的深入分析,其中包括 Adob​​e ColdFusion 2021 内 WDDX 反序列化过程中的一个重大漏洞。

然而,自这些更新以来,FortiGuard Labs IPS 遥测数据继续检测到大量利用 Adob​​e ColdFusion 不可信数据反序列化漏洞的行为,这带来了任意代码执行的重大风险(图 1)。这些攻击包括探测、建立反向 shell 以及部署恶意软件以进行后续操作。本文详细分析了该威胁组织如何利用 Adob​​e ColdFusion 漏洞。

图 1:IPS 签名活动

概述

攻击的目标 URI 是“/CFIDE/adminapi/accessmanager.cfc”,它充当合法的 ColdFusion 组件 (CFC) 端点。攻击者尝试通过 POST 请求将其有效负载注入到“argumentCollection”参数中。图 2 描述了说明此过程的完整数据包捕获。

图2:流量捕获

攻击者行为 - 探测

7 月,我们检测到大量与interactsh工具相关的活跃探测活动,该工具可以生成特定域名,帮助研究人员测试漏洞利用是否成功(图 3)。但是,攻击者还可以使用它通过监视域来验证漏洞。我们收集了与类似探测活动相关的以下域,如图 4 所示,包括 mooo-ng[.]com、redteam[.]tf 和 h4ck4fun[.]xyz。

图 3:涉及 interactsh 工具的探测活动

图 4:涉及其他领域的探测活动

攻击者行为 – 反向 Shell

我们的分析表明,攻击者正在使用反向 shell(通常称为远程 shell 或“连接回 shell”)来尝试通过启动 shell 会话来利用目标系统中的漏洞,从而能够访问受害者的计算机。一些针对 Adob​​e ColdFusion 漏洞的攻击使用以 Base64 编码的有效负载。原始数据如图 5 所示,解码后的数据如图 6 所示。

图 5:反向 shell 攻击

图 6:解码数据

攻击者行为 – 恶意软件

根据我们收集的数据,攻击源自多个不同的 IP 地址,包括 81[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122 ]156[.]147[.]183。这些有效负载也以 Base64 进行编码(图 7)。我们还观察到,威胁行为者从同一服务器 103[.]255[.]177[.]55[:]6895 分发了该恶意软件,如图 8 中的解码信息所示。

图 7:下载恶意软件的有效负载

图 8:解码数据

服务器(103[.]255[.]177[.]55[:]6895)是一个可公开访问的HTTP文件服务器,我们可以通过它观察活动的进展。在我们的分析过程中,由于攻击者频繁更新,某些文件被证明特别难以追踪。HFS 公共服务器上的文件修改如图 9 所示,展示了 8/24 所做的更改。

恶意软件变体

我们还发现了这些攻击中使用的四种恶意软件变体。

图9:8/24不同时间攻击者的网页

第一个实体是 XMRig Miner,该软件利用计算机处理周期来挖掘门罗币加密货币。它可用于合法挖矿,也可被网络犯罪分子通过劫持 CPU 周期来滥用。该攻击使用版本6.20.0,如图10所示。

图 10:XMRig 矿工

第二个实体是Satan DDoS/Lucifer,这是一种结合了加密劫持和分布式拒绝服务(DDoS)功能的混合机器人。Lucifer 于 2020 年首次被报道。除了在本例中部署 XMRig 矿工之外,它还表现出了指挥和控制 (C2) 操作的熟练程度,并且可以通过利用大量漏洞和使用凭证暴力破解来进行传播。它还支持基于 TCP、UDP 和 HTTP 的 DDoS 攻击。

研究人员最初确定 Lucifer 的目标是基于 Windows 的系统并在其上运行,但从图 11 中的欢迎消息中,我们可以看到该变体的目标是 Linux。

图 11:来自撒旦 DDoS/Lucifer 的消息

Lucifer 通过配置“SoftwareMicrosoftWindowsCurrentVersionRun”下的注册表项值来建立持久性。它还使用“schtasks”来初始化其矿工参数并创建一个用于持久化的重复任务,如图 12 所示。

图12:Satan DDoS/Lucifer挖矿配置

第三个实体称为 RudeMiner。这并不是它与路西法的第一次联系。如图 13 中标记为“45sep79asuwcjz8dltu7xtjbtx7yyf7uo6qt9ymfbqxv8gJzsdpyd46hoh6dm8paxklnsw9u7vezwu1dqmjkroryan3zeq1”的钱包信息所示,该特定活动可以追溯到 2020 年。图 14 说明了 DDoS 的存在与 RudeMiner 相关的攻击方法。

图 13:来自 RudeMiner 的消息

图 14:RudeMiner 的 DDoS 攻击方法

最后一个实体是 BillGates/Setag 后门,以劫持系统、与 C2 服务器通信和发起攻击而闻名。FortiGuard Labs 此前报告称其在 2021 年利用了 Confluence 服务器上的一个漏洞。可以通过图 15 中所示的文件“bill.lock”的检查流程来识别该漏洞。如图 16 所示,该恶意软件的 DDoS 攻击能力包括SYN、UDP、ICMP 和基于 HTTP 的攻击等方法。

图 15:BillGates/Setag 中的检查流程

图16:BillGates/Setag中的攻击方法

结论

我们已经跟踪此漏洞数周,并观察到大量针对 Adob​​e ColdFusion 的威胁利用。尽管这些漏洞的补丁已经发布,但攻击仍在发生。

IOCs

攻击者的IP地址:

81[.]68[.]214[.]122
81[.]68[.]197[.]3
82[.]156[.]147[.]183

恶意软件服务器的 IP 地址:

103[.]255[.]177[.]55:6895

文件:

7c6f0bae1e588821bd5d66cd98f52b7005e054279748c2c851647097fa2ae2df
590d3088ed566cb3d85d48f4914cc657ee49b7d33e85c72167e7c72d81d4cb6c
808f0f85aee6be3d3f3dd4bb827f556401c4d69a642ba4b1cb3645368954622e
4f22fea4d0fadd2e01139021f98f04d3cae678e6526feb61fa8a6eceda13296a

转载来源:https://www.fortinet.com/blog/threat-research/multiple-threats-target-adobe-coldfusion-vulnerabilities

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论