攻击者利用CVE

受影响的平台：运行 5.15.16、5.16.7、5.17.6 和 5.18.3 之前版本的 Apache Active MQ 的任何操作系统

受影响方：任何组织

影响：远程攻击者获得对易受攻击的系统的控制

严重级别：严重

去年 10 月，Apache 发布了一份针对 CVE-2023-46604 的重要公告，该漏洞涉及 Apache 中不受信任数据的反序列化。11 月 2 日，网络安全和基础设施安全局 (CISA) 将 CVE-2023-46604 添加到其已知利用列表KEV Catalog中，表明该漏洞的风险和影响较高。Fortiguard Labs 还发布了有关 CVE-2023-46604 主动利用的爆发警报和威胁信号报告，提供了更多详细信息和缓解建议。

CVE-2023-46604 的技术细节和概念验证 (PoC) 代码已公开，使攻击者更容易利用此漏洞。最近几周，Fortiguard Labs 检测到许多威胁行为者利用 CVE-2023-46604 传播各种恶意软件。我们的分析揭示了新发现的基于 Golang 的僵尸网络（名为 GoTitan）和名为“PrCtrl Rat”的 .NET 程序的出现，该程序配备了远程控制功能。此外，我们还发现了其他已知的恶意软件和工具。Sliver 最初是作为高级渗透测试工具和红队框架开发的，支持各种回调协议，包括 DNS、TCP 和 HTTP(S)，从而简化了出口流程。Kinsing 巩固了其在加密货币劫持业务中的地位，展示了其快速利用新发现的漏洞的能力。与此同时，Ddostf 的历史可以追溯到 2016 年，它继续展示其在执行有针对性的分布式拒绝服务 (DDoS) 攻击方面的熟练程度。

本文将详细介绍利用情况并深入了解与这些最近的攻击相关的恶意软件。

开发

攻击者通过 OpenWire 协议（通常在端口 61616）发起与 ActiveMQ 的连接。通过传输精心设计的数据包，攻击者触发系统解组其控制下的类。此操作反过来会提示易受攻击的服务器从指定的远程 URL 检索并加载类配置 XML 文件，需要存在外部托管的预定义 XML 文件。

该漏洞的已知利用涉及利用“ClassPathXmlApplicationContext”通过 HTTP 从网络位置加载恶意 XML 应用程序配置文件。图1显示了捕获的攻击流量。恶意 XML 文件定义了旨在在受感染计算机上执行的任意代码。攻击者可以设置“cmd”或“bash”等参数来实现在远程易受攻击的服务器上执行代码（图2）。

在以下部分中，我们将解释恶意软件的工作原理以及它在受感染系统上的作用。

图 1：CVE-2023-46604 的攻击流量

图 2：恶意 XML 文件

GoTitan

图 3：GoTitan 的 XML 文件

GoTitan 是本月早些时候发现的一个新僵尸网络。它是用Go编程语言编写的，是从恶意URL“hxxp://91.92.242.14/main-linux-amd64s”下载的。攻击者仅提供x64架构的二进制文件，恶意软件在运行前会执行一些检查。它还创建一个名为“c.log”的文件，记录执行时间和程序状态。该文件似乎是开发人员的调试日志，这表明 GoTitan 仍处于开发的早期阶段。

图 4：保存日志文件

它在系统内将自身复制为“/.mod”，并通过在 cron 中注册来建立循环执行。然后，它检索 C2 IP 地址并收集有关受感染端点的基本信息，包括架构、内存和 CPU 详细信息。使用“”作为分隔符来编译所有收集到的数据，并将收集到的信息传输到C2服务器。C2 消息以硬编码字符串“Titan”开头。

图5：构造C2消息

图 6：GoTitan 的 C2 流量会话

GoTitan 通过发送“xFExFE”作为心跳信号与其 C2 服务器进行通信，并等待进一步的指令。当它收到命令时，会将其传递给名为“handle_socket_func2”的函数，该函数确定攻击方法。GoTitan 支持十种不同的发起分布式拒绝服务 (DDoS) 攻击的方法：UDP、UDP HEX、TCP、TLS、RAW、HTTP GET、HTTP POST、HTTP HEAD 和 HTTP PUT。

Sliver

图 7：Sliver 的 XML 文件

Sliver 是一种用 Go 语言开发的开源渗透测试工具，可在 GitHub 上获取，由于其适合渗透测试各个阶段的不同功能，在被威胁行为者使用时可能会被滥用。威胁行为者可以利用 Sliver 来危害和控制跨各种平台和架构的多个目标。该工具能够生成旨在逃避检测的定制植入程序，允许在受感染的系统上执行命令、文件上传和下载、屏幕截图等。

当通过 HTTP 请求与“91[.]92[.]240[.]41”处的 C2 服务器通信时，Sliver 根据 URI 中的参数动态选择 C2 消息的解码器。此外，Sliver 支持各种编码器，包括 Base32、Base58、Base64、英文编码器、Gzip、Hex 和 PNG。HTTP协议中编码的C2通信如图8所示。

图 8：Sliver 的 C2 会话

PrCtrl Rat

图 9：PrCtrl Rat 的 XML 文件

攻击者从“hxxp://199[.]231[.]186[.]249:8000/unifo.dat”检索执行文件并将其存储为“svc_veeam.exe”。文件“unifo.dat”是一个 .Net 框架程序，最初标记为“prcli.exe”，于 8 月创建，仍然通过 CVE-2023-46604 传播。图 10 显示了 PDB 路径和详细信息。

图 10：uninfo.dat 的信息

为了持久化，它将当前进程的“安全服务”添加到注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”中。

然后它开始连接到 C2 服务器“173[.]214[.]167[.]155”。从远程服务器收到命令后，它会检查长度是否为 4。如果没有，则退出程序。它支持五个命令：

• cmdc：使用特定命令运行 cmd.exe 并将结果返回到服务器。

• file：获取目标系统上的文件系统信息，例如驱动器或目录以及文件。

• upld：上传文件。
• dnld：下载文件。
• ping: Heartbeat.

截至撰写本文时，我们尚未收到来自服务器的任何消息，传播该工具的动机仍不清楚。然而，一旦它渗透到用户的环境中，远程服务器就会获得对系统的控制权。

Kinsing

图 11：Kinsing 的 XML 文件

Kinsing 从“194[.]38[.]22[.]53/acb.sh”获取 bash 脚本。它有以下目的：

• 系统配置：修改系统参数，例如禁用防火墙、刷新 iptables 规则以及关闭 NMI 看门狗。
• 依赖性检查：验证curl或wget是否存在，如果不存在则安装它们。
• 进程清理：终止与特定可执行文件名称和竞争矿工相关的进程。

• 二进制下载和验证：下载主二进制文件和共享对象文件，然后使用 MD5 校验和验证下载的二进制文件的完整性。

• 系统配置：为下载的二进制文件创建系统服务配置文件。
• Cronjob设置：从 crontab 中删除与已知恶意活动相关的特定条目。添加一个新的 cronjob 以定期执行从远程服务器获取的命令 hxxp://185[.]122[.]204[.]197/acb.sh
• Cleanup：清除命令历史记录并删除 bash 历史记录文件。

Ddostf

图 12：Ddostf 的 XML 文件

Ddostf 使用的批处理脚本是从“hxxp://42[.]121[.]111[.]112:81/xml.sh”检索的。它使用“+o”配置历史日志以防止记录当前会话。然后它安装curl来下载额外的执行文件并消除任何痕迹。

图 13：部署 Ddostf 的批处理脚本

可执行文件“tomcat”包含可识别的字符串“ddos.tf”和“v8.ter.tf”的 Base64 编码字符串。其特征与 2018 年针对中国的威胁行为者的特征一致。

图14：Ddostf的二进制数据

它首先验证它是否具有root权限并且该进程正在设备上运行。然后，它通过执行如下所示的命令来确保它将持续存在于设备上。

图 15：Ddostf 的设置

Ddostf 包含一个硬编码字符串“TF-Linux kernel…”，它在其 C2 消息中附加“SYN-”或“UDP-”，具体取决于进程是否以 root 权限运行。

图16：发送C2消息

Ddostf包含13种攻击方法：SYN_Flood、WZSYN_Flood、ICMP_Flood、GET_Flood、GETFT_Flood、HEAD_Flood、POST_Flood、xzcc_Flood、TCP_Flood、WZTCP_Flood、ack_Flood、WZUDP_Flood和UDP_Flood。此外，它还定义了一个名为“DNS_Flood”的函数，该函数未包含在当前的 switch 案例中，可能用于未来的增强。

图17：DNS洪水功能

结论

尽管一个多月前发布了 CVE-2023-46604 补丁，但威胁行为者仍然继续利用此漏洞在易受影响的服务器上分发恶意软件。本博客介绍了新发现的威胁，包括基于 Golang 的僵尸网络 GoTitan 和 .NET 程序“PrCtrl Rat”，这些威胁是由于这种利用而出现的。此外，用户应对 Sliver、Kinsing 和 Ddostf 正在进行的攻击保持警惕。优先考虑系统更新和修补并定期监控安全建议以有效降低被利用的风险至关重要。

IOC

IP列表

185[.]122[.]204[.]197
194[.]38[.]22[.]53
42[.]121[.]111[.]112
91[.]92[.]242[.]14
199[.]231[.]186[.]249
173[.]214[.]167[.]155
91[.]92[.]240[.]41

文件
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转载来源：https://www.fortinet.com/blog/threat-research/gotitan-botnet-exploitation-on-apache-activemq

图片来源网络目标可联系删除