攻击者利用三年前的Telerik漏洞部署Cobalt Strike

admin 2022年6月17日19:50:36安全新闻评论10 views1132字阅读3分46秒阅读模式

据BleepingComputer网站6月15日消息,一个被称为“Blue Mockingbird”的攻击者利用 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。

攻击者利用的漏洞是CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达9.8,可导致在 Telerik UI 库中远程执行ASP.NET AJAX 的代码。

在2020年5月,Blue Mockingbird就曾使用同样的手法攻击Microsoft IIS 服务器,而此时距供应商提供安全更新已经过去了一年 ,可见该漏洞已被该攻击者反复利用,屡试不爽。

要利用 CVE-2019-18935漏洞,攻击者必须获得保护目标上Telerik UI序列化的加密密钥,这可通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317和CVE-2017-11357 来实现。一旦获得密钥,攻击者就可以编译一个恶意DLL,其中包含要在反序列化期间执行的代码,并在“w3wp.exe”进程的上下文中运行。

攻击者利用三年前的Telerik漏洞部署Cobalt Strike

Blue Mockingbird 最近的攻击链

在由网络安全公司Sophos最近发现的这起攻击事件中,Blue Mockingbird采用了一个现成的概念验证(PoC)漏洞,能够处理加密逻辑并自动进行DLL编译,其使用的有效载荷是 Cobalt Strike 信标,这是一种隐蔽的、合法的渗透测试工具, Blue Mockingbird 以此滥用来执行编码的 PowerShell 命令。

攻击者利用三年前的Telerik漏洞部署Cobalt Strike

Cobalt Strike 信标配置

为了实现持久性,攻击者通过 Active Directory 组策略对象 (GPO) 建立,它创建计划任务,该计划任务写入包含 base64 编码的 PowerShell 的新注册表项中。

该脚本使用常见的 AMSI 绕过技术来规避 Windows Defender 检测,以将 Cobalt Strike DLL 下载并加载到内存中。

第二阶段的可执行文件('crby26td.exe')是一个 XMRig Miner,一个标准的开源加密货币矿工,用于挖掘 Monero,这是最难追踪的加密货币之一。

Cobalt Strike 的部署为在受感染的网络内轻松横向移动、进行数据泄露、帐户接管以及部署更强大的有效负载(如勒索软件)开辟了道路。

参考来源

https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/

攻击者利用三年前的Telerik漏洞部署Cobalt Strike



精彩推荐






攻击者利用三年前的Telerik漏洞部署Cobalt Strike

攻击者利用三年前的Telerik漏洞部署Cobalt Strike
攻击者利用三年前的Telerik漏洞部署Cobalt Strike
攻击者利用三年前的Telerik漏洞部署Cobalt Strike

原文始发于微信公众号(FreeBuf):攻击者利用三年前的Telerik漏洞部署Cobalt Strike

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月17日19:50:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  攻击者利用三年前的Telerik漏洞部署Cobalt Strike http://cn-sec.com/archives/1125323.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: