受影响的平台: Windows 和 macOS
受影响方: Adobe ColdFusion 易受攻击版本的用户
影响:远程攻击者获得对易受攻击系统的控制
严重级别:严重
今年 7 月,Adobe 发布了一系列安全更新: APSB23-40 、 APSB23-41 和 APSB23-47 ,以回应其 ColdFusion 解决方案中针对预身份验证远程代码执行 (RCE )漏洞的利用报告。Project Discovery 已记录了对这些漏洞的深入分析,其中包括 Adobe ColdFusion 2021 内 WDDX 反序列化过程中的一个重大漏洞。
然而,自这些更新以来,FortiGuard Labs IPS 遥测数据继续检测到大量利用 Adobe ColdFusion 不可信数据反序列化漏洞的行为,这带来了任意代码执行的重大风险(图 1)。这些攻击包括探测、建立反向 shell 以及部署恶意软件以进行后续操作。本文详细分析了该威胁组织如何利用 Adobe ColdFusion 漏洞。
图 1:IPS 签名活动
概述
攻击的目标 URI 是“/CFIDE/adminapi/accessmanager.cfc”,它充当合法的 ColdFusion 组件 (CFC) 端点。攻击者尝试通过 POST 请求将其有效负载注入到“argumentCollection”参数中。图 2 描述了说明此过程的完整数据包捕获。
图2:流量捕获
攻击者行为 - 探测
7 月,我们检测到大量与interactsh工具相关的活跃探测活动,该工具可以生成特定域名,帮助研究人员测试漏洞利用是否成功(图 3)。但是,攻击者还可以使用它通过监视域来验证漏洞。我们收集了与类似探测活动相关的以下域,如图 4 所示,包括 mooo-ng[.]com、redteam[.]tf 和 h4ck4fun[.]xyz。
图 3:涉及 interactsh 工具的探测活动
图 4:涉及其他领域的探测活动
攻击者行为 – 反向 Shell
我们的分析表明,攻击者正在使用反向 shell(通常称为远程 shell 或“连接回 shell”)来尝试通过启动 shell 会话来利用目标系统中的漏洞,从而能够访问受害者的计算机。一些针对 Adobe ColdFusion 漏洞的攻击使用以 Base64 编码的有效负载。原始数据如图 5 所示,解码后的数据如图 6 所示。
图 5:反向 shell 攻击
图 6:解码数据
攻击者行为 – 恶意软件
根据我们收集的数据,攻击源自多个不同的 IP 地址,包括 81[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122、81[.]68[.]197[.]3 和 82[.]68[.]214[.]122 ]156[.]147[.]183。这些有效负载也以 Base64 进行编码(图 7)。我们还观察到,威胁行为者从同一服务器 103[.]255[.]177[.]55[:]6895 分发了该恶意软件,如图 8 中的解码信息所示。
图 7:下载恶意软件的有效负载
图 8:解码数据
服务器(103[.]255[.]177[.]55[:]6895)是一个可公开访问的HTTP文件服务器,我们可以通过它观察活动的进展。在我们的分析过程中,由于攻击者频繁更新,某些文件被证明特别难以追踪。HFS 公共服务器上的文件修改如图 9 所示,展示了 8/24 所做的更改。
恶意软件变体
我们还发现了这些攻击中使用的四种恶意软件变体。
图9:8/24不同时间攻击者的网页
第一个实体是 XMRig Miner,该软件利用计算机处理周期来挖掘门罗币加密货币。它可用于合法挖矿,也可被网络犯罪分子通过劫持 CPU 周期来滥用。该攻击使用版本6.20.0,如图10所示。
图 10:XMRig 矿工
第二个实体是Satan DDoS/Lucifer,这是一种结合了加密劫持和分布式拒绝服务(DDoS)功能的混合机器人。Lucifer 于 2020 年首次被报道。除了在本例中部署 XMRig 矿工之外,它还表现出了指挥和控制 (C2) 操作的熟练程度,并且可以通过利用大量漏洞和使用凭证暴力破解来进行传播。它还支持基于 TCP、UDP 和 HTTP 的 DDoS 攻击。
研究人员最初确定 Lucifer 的目标是基于 Windows 的系统并在其上运行,但从图 11 中的欢迎消息中,我们可以看到该变体的目标是 Linux。
图 11:来自撒旦 DDoS/Lucifer 的消息
Lucifer 通过配置“SoftwareMicrosoftWindowsCurrentVersionRun”下的注册表项值来建立持久性。它还使用“schtasks”来初始化其矿工参数并创建一个用于持久化的重复任务,如图 12 所示。
图12:Satan DDoS/Lucifer挖矿配置
第三个实体称为 RudeMiner。这并不是它与路西法的第一次联系。如图 13 中标记为“45sep79asuwcjz8dltu7xtjbtx7yyf7uo6qt9ymfbqxv8gJzsdpyd46hoh6dm8paxklnsw9u7vezwu1dqmjkroryan3zeq1”的钱包信息所示,该特定活动可以追溯到 2020 年。图 14 说明了 DDoS 的存在与 RudeMiner 相关的攻击方法。
图 13:来自 RudeMiner 的消息
图 14:RudeMiner 的 DDoS 攻击方法
最后一个实体是 BillGates/Setag 后门,以劫持系统、与 C2 服务器通信和发起攻击而闻名。FortiGuard Labs 此前报告称其在 2021 年利用了 Confluence 服务器上的一个漏洞。可以通过图 15 中所示的文件“bill.lock”的检查流程来识别该漏洞。如图 16 所示,该恶意软件的 DDoS 攻击能力包括SYN、UDP、ICMP 和基于 HTTP 的攻击等方法。
图 15:BillGates/Setag 中的检查流程
图16:BillGates/Setag中的攻击方法
结论
我们已经跟踪此漏洞数周,并观察到大量针对 Adobe ColdFusion 的威胁利用。尽管这些漏洞的补丁已经发布,但攻击仍在发生。
IOCs
攻击者的IP地址:
81[.]68[.]214[.]122
81[.]68[.]197[.]3
82[.]156[.]147[.]183恶意软件服务器的 IP 地址:
103[.]255[.]177[.]55:6895文件:
7c6f0bae1e588821bd5d66cd98f52b7005e054279748c2c851647097fa2ae2df
590d3088ed566cb3d85d48f4914cc657ee49b7d33e85c72167e7c72d81d4cb6c
808f0f85aee6be3d3f3dd4bb827f556401c4d69a642ba4b1cb3645368954622e
4f22fea4d0fadd2e01139021f98f04d3cae678e6526feb61fa8a6eceda13296a
转载来源:https://www.fortinet.com/blog/threat-research/multiple-threats-target-adobe-coldfusion-vulnerabilities
图片来源网络侵权可联系删除
