近日,Sophos发现未知攻击者利用Adob??eColdFusion911年前的一个古老漏洞攻击ColdFusion服务器,部署Cring勒索软件并进行横向翻译。已经发现了野外攻击的成功案例,但可以恢复部分数据。ColdFusion9服务器运行的是WindowsServer2008操作系统,微软在2020年1月结束了维护更新,而Adob??e在2016年就宣布了ColdFusion9的生命周期结束。因此,该软件没有安全补丁可以应用,这也提醒管理员不要将过时的关键业务操作暴露在Internet上。攻击者并没有因为利用了老漏洞就草率行事,而是通过隐藏文件、向内存注入代码、删除相关日志等手段,使用相当高明的技术来掩盖攻击痕迹。QuickBreakthrough分析服务器日志发现,攻击者使用分配给乌克兰ISPGreenFloid的IP地址在当地时间上午10点前开始扫描目标网站,使用自动化工具扫描了目标网站上的9000多个路径。耗时76秒,确定web服务器部署了ColdFusion的安装文件和具体的URI,如/admin.cfm、/login.cfm、/CFIDE/Administrator/。三分钟后,攻击者利用ColdFusion中的目录遍历漏洞(CVE-2010-2861)发起攻击。该漏洞允许远程用户检索一个非公开的web目录文件,攻击者请求一个名为password.properties的文件。接下来,攻击者利用了ColdFusion中的另一个漏洞,CVE-2009-3960,允许攻击者滥用ColdFusion的XML处理协议来注入数据。为了利用该漏洞,攻击者通过HTTPPOST请求将文件上传到ColdFusion服务器的/flex2gateway/amf。该文件是一个WebShell,它将参数传递给Windows的cmd.exe以供执行。攻击者将base64编码的WebShell从c:\windows\temp\csa.log写入E:\cf9_final\cfusion\wwwroot\CFIDE\cfa.css。随后,攻击者通过WebShell加载并执行了CobaltStrikeBeacon。紧接着,攻击者用乱码覆盖了包含WebShell的文件,以阻碍调查分析。大约62小时后,攻击者回来了。使用Beacon在受感染的主机上上传文件和执行命令。文件放入https://image.3001.net/images/20210925/1632547634_614eb332c7f01c3ab118f.png!small同时传递一组十六进制编码参数执行。解码参数如下:-IsErIK函数将拉取新脚本并将其持久化。几个小时后,攻击者在名为cfiut.cfm的ColdFusion/CFIDE/目录中放置了第二个WebShell。webshel??l用于导出许多注册表配置并将它们写入.png文件,然后将其存储在可公开访问的路径中。大约五个小时后,攻击者调用WMIC从白俄罗斯的IP地址下载名为01.css和02.css的文件。此外,攻击者还创建了一个名为agent$的帐户,密码为P@ssw0rd并授予其管理员权限。随后,攻击者配置域管理员权限,然后横向分发CobaltStrikeBeacon。在禁用WindowsDefender和其他安全软件后,攻击者发现服务器部署了管理程序,并关闭了虚拟机。C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe获取虚拟机|%{Stop-VM$_-TurnOff}最后,在攻陷ColdFusion服务器大约79小时后,攻击者部署了Cring勒索软件,对数据文件进行了加密。攻击者删除卷影副本、清除事件日志并重新启动安全软件。勒索信息显示在Windows登录屏幕上,而不是桌面上的文本文件。
