聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是“严重”的反序列化漏洞(CVSS评分9.8),可导致在 ASP.NET AJAX 的 Telerik UI 库中执行远程代码。
Blue Mockingbird 黑客组织还在2020年5月利用该漏洞攻击使用 Telerik UI的微软IIS服务器,而此时距离厂商发布安全更新已过去一年的时间。
令人惊讶的是,Sophos 公司的研究员指出,该黑客组织仍然在利用该漏洞发动网络攻击。
为利用该漏洞,攻击者必须获得加密密钥,保护 Telerik UI 在目标上的序列化。攻击者可通过利用目标 web app 中的另外一个漏洞或利用CVE-2017-11317和CVE-2017-11357实现这一目的。
由于很多 web 应用是在开发之时就嵌入该 Telerik UI 框架版本并在之后不再继续或者将其忘记,因此仍然存在有效的攻击目标。一旦获得密钥,攻击者就能够编译包含该代码的恶意DLL,在反序列化过程中执行并且在 “w3wp.exe” 进程上下文中运行。
Sophos 公司在最近的攻击中发现,Blue Mockingbird 组织利用现成可用的PoC exploit 处理该加密逻辑并将DLL编译自动化。
最近攻击活动中使用的payload 是 Cobalt Strike 信标,它是Blue Mockingbird 滥用于执行已编码 PowerShell 命令的合法渗透测试工具。
攻击者通过GPOs 创建用包含base64编码的PowerShell 的新注册表项编写的调度任务,从而实现持久性。
脚本使用常见的AMSI绕过技术,逃避 Windows Defender 检测,下载并将 Cobalt STRIKE DLL加载到内存中。
第二阶段的可执行文件 (‘crby26td.exe’) 是XMRig Miner,是标准的开源密币挖矿机,用于挖掘追踪难度最大的密币之一,门罗币。
值得注意的是,这是Blue Mockingbird组织在2020年攻击活动中的主要目标,其整个攻击链、技术和目标并未发生太多改变。然而,部署 Cobalt Strike 创建了在受陷网络中轻松进行横向移动、窃取数据、接管账户和部署更多payload如勒索软件的方法。目前尚无法确定该黑客组织是否有意探索这些场景,不过目前它们的目标是门罗币挖掘。
https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论