聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
該漏洞是「嚴重」的反序列化漏洞(CVSS評分9.8),可導致在 ASP.NET AJAX 的 Telerik UI 庫中執行遠程代碼。
Blue Mockingbird 黑客組織還在2020年5月利用該漏洞攻擊使用 Telerik UI的微軟IIS服務器,而此時距離廠商發布安全更新已過去一年的時間。
令人驚訝的是,Sophos 公司的研究員指出,該黑客組織仍然在利用該漏洞發動網絡攻擊。
為利用該漏洞,攻擊者必須獲得加密密鑰,保護 Telerik UI 在目標上的序列化。攻擊者可通過利用目標 web app 中的另外一個漏洞或利用CVE-2017-11317和CVE-2017-11357實現這一目的。
由於很多 web 應用是在開發之時就嵌入該 Telerik UI 框架版本並在之後不再繼續或者將其忘記,因此仍然存在有效的攻擊目標。一旦獲得密鑰,攻擊者就能夠編譯包含該代碼的惡意DLL,在反序列化過程中執行並且在 「w3wp.exe」 進程上下文中運行。
Sophos 公司在最近的攻擊中發現,Blue Mockingbird 組織利用現成可用的PoC exploit 處理該加密邏輯並將DLL編譯自動化。
最近攻擊活動中使用的payload 是 Cobalt Strike 信標,它是Blue Mockingbird 濫用於執行已編碼 PowerShell 命令的合法滲透測試工具。
攻擊者通過GPOs 創建用包含base64編碼的PowerShell 的新註冊表項編寫的調度任務,從而實現持久性。
腳本使用常見的AMSI繞過技術,逃避 Windows Defender 檢測,下載並將 Cobalt STRIKE DLL加載到內存中。
第二階段的可執行文件 (『crby26td.exe』) 是XMRig Miner,是標準的開源密幣挖礦機,用於挖掘追蹤難度最大的密幣之一,門羅幣。
值得注意的是,這是Blue Mockingbird組織在2020年攻擊活動中的主要目標,其整個攻擊鏈、技術和目標並未發生太多改變。然而,部署 Cobalt Strike 創建了在受陷網絡中輕鬆進行橫向移動、竊取數據、接管賬戶和部署更多payload如勒索軟件的方法。目前尚無法確定該黑客組織是否有意探索這些場景,不過目前它們的目標是門羅幣挖掘。
https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表