从2023年9月30日开始，SentinelOne观察到一伙威胁分子利用Progress的WS_FTP最近披露的漏洞，攻击运行该软件高危版本的Windows服务器。两个最严重的漏洞是CVE -2023-40044和CVE -2023-42657，CVSS评分分别为10分和9.9分。

我们观察到至少有三种类型的多阶段攻击链，它们从漏洞利用开始，然后下达命令从远程服务器下载攻击载荷，常常通过IP地址URL，这种活跃的漏洞利用标志着Progress Software产品在2023年遭到第三波攻击。

虽然漏洞利用可能是伺机下手，但信息技术托管服务提供商（IT MSP)、软件和技术、法律服务、工程和建筑、石油和天然气、医疗保健和非营利等行业部门的组织都受到了影响。

技术细节

漏洞利用活动可能会显示在命令日志中，比如引用父进程中应用程序池WSFTPSVR_WTM以进行后续漏洞利用活动的活动，比如：

C:WindowsSysWOW64inetsrvw3wp.exe -ap "WSFTPSVR_WTM" -v "v4.0" -l

"webengine4.dll" -a \.pipeiisipme{GUID_String} -h

"C:inetpubtempapppoolsWSFTPSVR_WTMWSFTPSVR_WTM.config" -w "" -m 1

-t 20 -ta 0

利用WS_FTP漏洞之后出现了几条攻击链。

攻击链1：编码的PowerShell和Certutil投放Metasploit

该漏洞调用的命令执行以下操作：

•检查系统架构是32位还是64位：脚本使用该信息从正确的路径运行PowerShell。

•使用经过混淆处理的字符串来禁用脚本执行时的PowerShell日志记录。

•解码、提取和执行由Base64编码、由Gzip压缩的字符串，并将解码后的值作为一个新进程来启动。

图1. 含有攻击链1的编码命令

上面经过混淆处理的代码含有的C#代码有这几个函数或功能：

•14函数：使用.Net反射从Windows API获取GetProcAddress方法和GetModuleHandle方法。

•pR函数：设置参数，以便动态组装运行。

•$dYKA变量：解码由base64编码的PowerShell代码，该代码含有对certutil的调用，以便从IP地址URL下载攻击载荷。

•$pq5zc变量：使用VirtualAlloc为外壳代码（shellcode）分配内存。

•将外壳代码拷贝到已分配的内存中。

•创建并执行一个新线程，以便外壳代码使用所有已建立的参数来运行。

图2. 负责运行certutil.exe调用的C#代码，该调用从远程服务器下载攻击载荷

新的进程是certutil.exe，带有-urlcache标志，用于从IP地址URL下载攻击载荷。该命令的示例如下：

图3. 解码的certutil.exe命令，该命令下载攻击载荷，并作为新进程启动

VirusTotal上的检测规则将从该服务器下载的攻击载荷（SHA-1: 83140ae9951b66fba6da07e04bfbba4e9228cbb8）分类为Metasploit阶段。在这种情况下，活动崩溃，导致系统启动Windows错误报告二进制文件WerFault.exe。由于我们在几分钟后看到了另外的漏洞利用尝试，我们认为这次尝试未得逞，导致威胁分子再次尝试。

攻击链2：通过cl.exe 进行Curl &实时编译

另一条攻击链使用curl下载由cl.exe执行的攻击载荷，在运行时动态编译攻击载荷。攻击链是这样的：

虽然该工具可用于合法的安全测试目的，但我们无法确认可以将这起活动归因于攻击性安全团队。然而，AssetNote把oastify[.]com查询整合到漏洞分析中，这种分析包括使用Ysoserial .NET反序列化小工具利用漏洞的逐步演练。防御者可以针对oastify[.]com的子域使用curl或nslookup来识别这些调用。

攻击链3：可执行文件和AD活动

这条攻击链利用了位于服务器的ProgramData路径中的许多不同的Windows可执行文件。虽然有对PowerShell的调用，但这条攻击链不使用任何脚本。相反，下面列出的每个命令都是由一系列可执行文件调用的，这些可执行文件的名称很短，通常由一个字母和一个数字组成，比如n1.exe、n2.exe和s.exe等。我们无法获得这些二进制文件进行分析。

二进制文件xmpp.exe由开发远程管理软件的SimpleHelp公司签名。每次在后续命令执行之前，xmpp.exe二进制文件都会执行。威胁分子很可能使用xmpp.exe作为一种远程访问工具。

威胁分子试图向Administrators（管理员）组添加名为temp的活动目录（AD）用户，其密码为p@ssw0rd123，如果添加成功，将提供权限升级。接下来是几次尝试，试图添加同一个用户而不添加到Administrators组，最后是对whoami进行调用，这显示了控制台会话的活跃用户。按照事件的这个顺序，添加Administrative用户的尝试很可能失败。由于该活动在whoami命令之后停止，所以创建普通用户很可能成功。

结论

如果组织使用Progress的WS_FTP产品，应该立即更新版本或将受影响的系统断网，这些攻击很可能是伺机下手，威胁分子扫描互联网，寻找易受攻击的系统。

如果将这起活动与6月份Clop勒索软件组织发起的MOVEit大规模漏洞利用攻击进行比较，则有一线希望：Censys研究团队发现，与如今易受攻击的MOVEit Transfer实例数量相比，网上WS_FTP实例要少得多。

发现这些漏洞的研究人员特别指出，由于之前在MOVEit Transfer中的发现，他们分析了更多的文件传输产品。我们在此基础上可以假设，随着研究人员专注于这类产品套件，更多的漏洞将被识别、沦为武器化，基于目前和过去的成功，漏洞研究人员对Progress给予了更大的关注。

攻陷指标

网络指标—URL

hxxp://34[.]77[.]65[.]112:25565

hxxp://34[.]77[.]65[.]112:25565

hxxp://103[.]163[.]187[.]12:8080/3P37p073LKuQjOE64pjEVw

hxxp://103[.]163[.]187[.]12:8080/c8e3vG0e3TMiqcjcZOXhhA

hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A

hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A

hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A

hxxp://103[.]163[.]187[.]12:8080/Sw8J6d3NVuvrBiTCXrg4Og

hxxp://103[.]163[.]187[.]12:8080/xkJ5de2brMfvCNNnBoRRAg

hxxp://141[.]255[.]167[.]250:8081/o1X7qlIaYzSmCj[.]hta

hxxp://176[.]105[.]255[.]46:8080/aqmCG0mZlo_xnZRAWbz6MQ

hxxp://176[.]105[.]255[.]46:8080/OFmLqOxFRIkoENjCZsC7OQ

hxxp://176[.]105[.]255[.]46:8080/Rn0KQbPo22laaUbKGy30sg

hxxp://81[.]19[.]135[.]226:8080/_1TZ–18Hpqm06wvtjLMAg

hxxps://filebin[.]net/soa40iww2w8jhgnd/svchostt[.]dll

hxxps://tmpfiles[.]org/dl/2669123/client[.]txt

hxxps://tmpfiles[.]org/dl/2669853/client[.]txt

hxxps://tmpfiles[.]org/dl/2671793/sl[.]txt

45[.]93[.]138[.]44/cl[.]exe 

网络指标– 域

2adc9m0bc70noboyvgt357r5gwmnady2[.]oastify[.]com

bgvozb1wnz86q952zxjlwusv2m8gw5[.]oastify[.]com

qzt3iqkb6erl9oohic20f9bal1rsfh[.]oastify[.]com

网络指标– IP地址

34[.]77[.]65[.]112

45[.]93[.]138[.]44

81[.]19[.]135[.]226

103[.]163[.]187[.]12

141[.]255[.]167[.]250

176[.]105[.]255[.]46 

文件哈希– SHA-1

1d41e0783c523954ad12d950c3805762a1218ba6

1d7b08bf5ca551272066f40d8d55a7c197b2f590

32548a7ef421e8e838fa31fc13723d44315f1232

3fe67f2c719696b7d02a3c648803971d4d1fd18c

40b2d3a6a701423412bb93b7c259180eb1221d68

65426816ef29c736b79e1969994adf2e74b10ad8

790dcfb91eb727b04d348e2ed492090d16c6dd3e

83140ae9951b66fba6da07e04bfbba4e9228cbb8

83e6ede4c5f1c5e4d5cd12242b3283e9c48eea7e

8c14a4e7cee861b2fad726fc8dd0e0ae27164890

8dbca2f55c2728b1a84f93141e0b2a5b87fa7d35

923fd8fb3ddc1358cc2791ba1931bb4b29580bb6

98321d034ddc77fe196c6b145f126b0477b32db9

b4a5bf6c9f113165409c35726aec67ff66490787

b70aa1d07138b5cae8dd95feba9189f1238ee158

d00169f5eff9e0f2b5b1d473c0ee4fe9a3d8980e

d669b3977ebebf7611dd2cb1d09c31b3f506e9bd

e5ac227f143ec3f815e475c0b4f4f852565e1e76

f045a41def1752e7f8ef38d4ce1f7bd5e01490fc

参考及来源：https://www.sentinelone.com/blog/threat-actors-actively-exploiting-progress-ws_ftp-via-multiple-attack-chains/