执行摘要
自从针对 ConnectWise ScreenConnect 中的两个漏洞发布了概念验证代码以来,多个威胁参与者已经开始进行大规模利用。安全行业的研究人员报告了他们观察到的攻击链,其中包括使用 ScreenConnect 部署密码窃取程序、其他远程管理软件和商业后利用框架。有些入侵甚至以勒索软件部署而告终。
ShadowServer 基金会等互联网扫描仪报告称,截至 2024 年 2 月 21 日,超过 8,000 个存在漏洞的 ScreenConnect 实例暴露在互联网上。虽然与最近的 VPN 服务漏洞相比,这一数字似乎相对较低,但值得注意的是,ScreenConnect 是一种远程管理工具,托管服务提供商和 IT 服务提供商使用它来管理多个客户端组织,每个 ScreenConnect 服务器最多可以管理 150,000 个客户端组织。客户。考虑到这一点,该漏洞造成的威胁面几乎肯定明显高于暴露在互联网上的 ScreenConnect 服务器实例的数量。
在此类攻击中,WithSecure™ 检测到威胁参与者利用 ScreenConnect 并部署了名为 KrustyLoader 的恶意软件的新 Windows 变体。KrustyLoader 于 2024 年 1 月首次被Synacktiv命名,当时它正在分析针对 Ivanti ConnectSecure 中的关键漏洞的广泛活动中掉落的植入程序。注意:产品名称中包含“连接”或“安全”(……我们知道)一词的每个人,请进行安全代码审查。
新版本的 KrustyLoader 的运行方式与 Synacktiv 描述的非常相似,但 WithSecure 观察到的变体是 Windows 可执行文件。
除了 Ivanti 活动之外,WithSecure 还发现植入程序在利用 JetBrains TeamCity 和 ApacheMQ 服务中的关键漏洞的记录活动中表现出类似行为。因此,我们评估该活动背后的入侵集一段时间以来一直在不断利用边缘漏洞,可能充当初始访问代理,尽管我们无法深入了解部署 Sliver 后利用框架后针对目标的操作在撰写本文时 - 注意到在所有活动中常见的攻击步骤。
Windows KrustyLoader分析
初始感染链
威胁行为者将一个名为“r.bat”的批处理文件放入受害者系统的两个不同目录下,具体目录因受害者而异,包括:
C:WindowsTEMPScreenConnect23.8.5.8707r.bat
ConnectWiseControlTempr.bat然后,威胁参与者继续启动批处理脚本,该脚本执行以下操作:
通过删除以下文件来删除已删除工件的先前副本:
注意:该路径与批处理脚本下载 KrustyLoader 的路径不匹配。
随机选择托管 KrustyLoader 负载的四个预定义 Amazon AWS S3 URL 之一。
通过将名为“flag”的硬编码变量回显到文件“C:Windowstemp�”中来创建文件。KrustyLoader 稍后会检查该文件是否存在。
尝试使用bitsadmin和PowerShell通过三个单独的命令将有效负载下载为“C:WindowsTemp1.exe”,然后最终启动下载的有效负载KrustyLoader。
图 1. “r.bat”批处理脚本的文件内容
KrustyLoader 是一种用 Rust 编写的初级恶意软件。该恶意软件的主要目的是下载并启动第二阶段的有效负载。我们的初步分析表明,Windows 变体的高级行为与其 Linux 版本相当,这已在此处的报告中概述。
简而言之,该恶意软件执行以下操作:
全程执行一系列反沙箱和反分析检查,包括:
恶意软件将自身移动到 %TEMP%...__re located__.exe
恶意软件解密第二阶段 URL,该 URL 使用硬编码配置中的密钥/IV 通过 AES-128 CFB 模式进行 XOR 编码和加密。
恶意软件通过解密的 URL 下载第二阶段的有效负载。
恶意软件最终将解密的有效负载注入到 explorer.exe 中。
图 2. KrustyLoader Windows 与 Linux 配置比较
众所周知,KrustyLoader 提供 Sliver C2(一种开源后利用工具包)作为其第二阶段有效负载。同样,WithSecure 在最新活动中分析的所有样本也都产生了 Sliver 有效负载。此外,最新活动中使用的 Sliver C2 域(farstream[.]org 和 sysupdates[.]org)与据报道通过 Ivanti ConnectSecure 于 2024 年 1 月利用 KrustyLoader 看到的域相匹配。
发现并报告KrustyLoader Linux 变体的研究人员编写了一个配置提取器,可以解析并提取 XOR 密钥、AES 密钥/IV,并从 KrustyLoader 样本中解密第二阶段 URL。为了帮助研究人员,我们更新了配置提取器,使其能够与最新活动中出现的 KrustyLoader 的 Windows 变体一起使用。我们很快就会向此处找到的原始提取器发出拉取请求。
下面显示了在所有最新 Windows 示例上执行的更新配置的屏幕截图。
图 3. 通过更新的提取器进行的最新 Windows 示例配置
持续活动的一部分
WithSecure 在 VirusTotal 中识别出 14 个版本的 Windows KrustyLoader 变体,所有观察到的样本都进行了多次检测,并使用 Amazon S3 存储桶 URL 作为第二阶段的负载。第一个文件于 2023 年 10 月 6 日提交,从那时起,更新版本的提交相对定期,直到 2024 年 2 月 22 日,此时在短时间内会看到多个具有不同哈希值的文件。
2024 年 2 月 20 日之后上传的文件很可能都与 ScreenConnect 漏洞利用活动相关,但较旧的文件似乎与针对其他关键漏洞的大规模利用活动相关。
TeamCity CVE-2023-42793
Fortinet 研究人员在 2023 年 9 月发表的一篇博文中重点介绍了 APT29 对 TeamCity 漏洞 CVE-2023-42793 的利用,其中包括了关于他们在研究过程中观察到的 APT29 以外的攻击者的利用活动的部分。其中一个线程与我们观察到的 KrustyLoader/ScreenConnect 活动非常相似,首先触摸/写入 C:/Windows/Temp/0,然后使用 Powershell 从 Amazon AWS S3 存储桶下载有效负载并将其写入 C:/ Windows/Temp/1.exe。
ApacheMQ CVE-2023-46604
我们还观察到 2023 年 11 月针对 ApacheMQ 漏洞 CVE-2023-46604 执行了类似的远程利用活动。从 atlas-external.s3.amazonaws[.]com 下载的 XML 文件利用该漏洞从 beansdeals-static.s3.amazonaws[.]com 下载 KrustyLoader 并将其保存到 C:/Windows/Temp/1.exe然后执行它。
Ivanti ConnectSecure CVE-2023-46805 和 CVE-2024-21887
当然,在 2024 年 1 月,Ivanti ConnectSecure 漏洞利用风靡一时,而且还观察到该活动背后的威胁参与者正在利用 Ivanti ConnectSecure 设备。事实上, Synacktiv正是在此时命名了KrustyLoader 的 Linux 变体。虽然它们详细介绍了 Linux 恶意软件,但 Windows 变体所采取的操作非常相似,只是以不同的方式执行。最能说明问题的当然是用于托管的 S3 存储桶 URL。
大约在同一时间,Darktrace 还报告了从受感染的 Ivanti ConnectSecure 设备观察到的网络活动,这些设备再次使用 S3 存储桶来托管他们所描述的可能基于 Rust 的 ELF 有效负载,此时可以合理地假设这也是 Linux KrustyLoader 变体。
结论
结合这些样本、基础设施重叠以及其他研究人员的报告,我们可以确定威胁行为者一直在利用易受攻击的面向互联网的设备,作为至少从 2023 年 9 月开始的持续活动的一部分,部署 KrustyLoader 的 Windows 和 Linux 变体,同时定期改变他们的方法来利用当今最新的、易于大规模利用的漏洞。在撰写本文时,我们仍然不知道攻击者针对目标采取的行动是什么——可能作为初始访问代理进行操作,但谨慎的假设是,访问持续存在,它们几乎肯定会发展成更具影响力的事件。
国际奥委会
SHA1s
7245063d336358d149d68827ef7a0f4362b9636d
5e4ce7ed14b7f9f2adc96a757c998c4cbf044b4f
59e2fd0f9ce79b3c9c09fadebb6339eb35ec8dc9
904934e4963afdc3c4898988ec0e68ef5a4c6892
9d8bbaa4be5bee3d8b099669918bf2e449dcaf3b
2d96c3fd78dfcd3eb2b38914bc4f03d48685739d
e732b6e17296731dc3e87eacfcabc1806a12dc7e
55c6f1b5a930834ac97e7038f8454f1057767087
54fe7f1c71139b3d6d41bcad47798a3f7eb8cd0e
cc504e720745db5061e41528a2d36976b20bc0e7
438c839b28b047c50fc876b2a8646c138e4a0afa
351bfe0b2abb56de350e2d2c3c29916f658860b3
a66d76d86448965e57d7be96a57529c497e4b99d
7b6eb60a09c1185cd599c11ae44943398e0af61e
参考链接: https://labs.withsecure.com/publications/new-krustyloader-variant-dropped-via-screenconnect-exploit
图片来源网络目标可联系删除
