点击上方蓝字“Ots安全”一起玩耍
Morphisec 是防止零日攻击发起的规避多态威胁的世界领导者。4 月 14 日至 15 日,Morphisec 发现了针对一周前的 VMware Workspace ONE Access(以前称为 VMware Identity Manager)远程代码执行 (RCE) 漏洞的利用尝试。BleepingComputer 报告称,在野外也看到了类似的尝试。由于存在复杂的 Core Impact 后门的迹象,Morphisec 认为高级持续威胁 (APT) 组是这些 VMWare 身份管理器攻击事件的幕后黑手。袭击中使用的战术、技术和程序在伊朗相关的 Rocket Kitten 等团体中很常见。
VMWare 是一个价值 300 亿美元的云计算和虚拟化平台,被全球 500,000 家组织使用。利用此 RCE 漏洞的恶意行为者可能会获得无限的攻击面。这意味着对虚拟主机和来宾环境的任何组件的最高特权访问。受影响的公司面临严重的安全漏洞、赎金、品牌损害和诉讼。
这个新漏洞是一个影响 Apache Tomcat 组件的服务器端模板注入,因此恶意命令会在托管服务器上执行。作为攻击链的一部分,Morphisec 已识别并阻止 PowerShell 命令作为子进程执行到合法的 Tomcat prunsrv.exe 进程应用程序。具有网络访问权限的恶意行为者可以利用此漏洞针对 VMware 的身份访问管理实现完整的远程代码执行。Workspace ONE Access 提供对 SaaS、Web 和本机移动应用程序的多因素身份验证、条件访问和单点登录。
这次攻击转身的速度非常快:
初始漏洞的补丁于 4 月 6 日发布
4 月 11 日,出现了攻击的概念证明
4 月 13 日,在野外发现了漏洞利用
攻击者可以使用这种攻击来部署勒索软件或硬币矿工,作为其初始访问、横向移动或特权升级的一部分。Morphisec 研究观察到攻击者已经利用此漏洞启动反向 HTTPS 后门——主要是Cobalt Strike、Metasploit 或 Core Impact 信标。通过特权访问,这些类型的攻击可能能够绕过典型的防御措施,包括防病毒 (AV) 和端点检测和响应 (EDR)。
Morphisec Labs 在下面详细分析了这种新的攻击。
Morphisec 控制台攻击细节
技术分析
完整的攻击链
攻击者通过利用 VMWare Identity Manager Service 漏洞获得对环境的初始访问权限。然后,攻击者可以部署一个 PowerShell stager 来下载下一阶段,Morphisec Labs 将其识别为 PowerTrash Loader。最后,一个高级渗透测试框架——Core Impact——被注入到内存中。
VMWARE 身份管理器漏洞
Morphisec 博客文章Log4j Exploit Hits Again: Vulnerable VMWare Horizon Servers at Risk展示了攻击者之前是如何利用 VMWare 的 Horizon Tomcat 服务的。不幸的是,恶意从不睡觉。威胁参与者现在正在利用另一个 VMWare 组件,即 VMWare Identity Manager 服务。
该服务最近报告了几个漏洞:
CVE-2022-22958
VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行。
CVE-2022-22957
VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含两个远程代码执行漏洞(CVE-2022-22957 和 CVE-2022-22958)。具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不受信任的数据的反序列化,这可能导致远程代码执行。
CVE-2022-22954
VMware Workspace ONE Access and Identity Manager 包含一个由于服务器端模板注入而导致的远程代码执行漏洞。具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。
虽然 CVE-2022-22957 和 CVE-2022-22958 是 RCE 漏洞,但它们需要对服务器的管理访问权限。然而,CVE-2022-22954 没有,并且已经在野外有一个开源的概念证明。
POWERSHELL STAGER
攻击者利用该服务并运行以下 PowerShell 命令:
以 base64 编码的 Stager
翻译为:
解码阶段
正如您在最后看到的,这是一个编码命令,其中每个字符都减一。这样做时,我们会获得下载下一阶段的 URL:
解码 #2 阶段
POWERTRASH 装载机
PowerTrash Loader 是一个高度混淆的 PowerShell 脚本,包含大约 40,000 行代码。
来自 PowerTrash 加载程序的片段
这个加载器解压缩压缩的有效载荷并将其反射加载到内存中,而不会在磁盘上留下取证证据。我们之前已经看到 PowerTrash Loader 导致 JSSLoader。
这次最终的有效载荷不同——一个核心影响代理。
核心影响剂
Core Impact 是由 Core Security 开发的渗透测试框架。与其他渗透测试框架一样,这些框架的使用并不总是出于好意。TrendMicro 报告称,在与 Rocket Kitten APT35 组相关的 Woolen-GoldFish 活动中使用了 Core Impact 的修改版本。
我们可以提取位于嵌入字符串中的 C2 地址、客户端版本和通信加密密钥:
C2 服务器:185.117.90[.]187
客户端版本:7F F7 FF 83(十六进制)
256-Bit Key: cd19dbaa04ea4b61ace6f8cdfe72dc99a6f807bcda39ceab2fefd1771d44ad288b76bc20eaf9ee26c9a175bb055f0f2eb800ae6010ddd7b509e061651ab5e883d491244f8c04cbc645717043c74722bee317754ea1df13e446ca9b1728f1389785daecf915ce27f6806c7bfa2b5764e88e2957d2e9fcfd79597b3421ea4b5e6f (ASCII)
其他威胁关系
在 Stager 服务器上进行反向查找会导致在伦敦注册的名为“Stark Industries”的新网络托管服务器。
Stager服务器IP反向查找结果
该公司于 2022 年 2 月注册,与一个名叫 Ivan Neculiti的人有关联:
suite.endole.co.uk 中的 Ivan Neculiti 身份
在hucksters.net上有一个专门的个人资料页面,其中暴露了垃圾邮件发送者、欺诈者和其他不良行为者。
Ivan 因拥有用于恶意和非法活动的网络托管公司而臭名昭著。其中包括 pq[.]hosting,它很容易与 stark-industries[.] 解决方案相关联。
网络托管公司之间的相关性
妥协指标
第 1 阶段服务网址:
hxxp://138.124.184[.]220/work_443.bin_m2.ps1
Stage2 - work_443.bin_m2.ps1:
746FFC3BB7FBE4AD229AF1ED9B6E1DB314880C0F9CB55AEC5F56DA79BCE2F79B
第三阶段 - 核心影响:
7BC14D231C92EEEB58197C9FCA5C8D029D7E5CF9FBFE257759F5C87DA38207D9
C2 服务器:
185.117.90[.]187
保护自己免受此 VMWARE IDENTITY MANAGER 攻击
VMWare 身份访问管理的广泛使用与这种攻击提供的不受限制的远程访问相结合,是跨行业破坏性破坏的秘诀。任何使用 VMWare 身份访问管理的人都应该立即应用 VMWare 发布的补丁。无法立即应用补丁的组织应考虑虚拟补丁。VMWare 客户还应该审查他们的 VMware 架构,以确保受影响的组件不会意外发布到 Internet 上,这会大大增加利用风险。
Morphisec 客户可以免受这些后门攻击和其他类似攻击。Morphisec 的 MTD 技术通过创建动态攻击面来实现虚拟补丁,以防止成功部署 CoreImpact、Cobalt Strike 和 Metasploit 信标。这些信标具有高度规避性,可以绕过部署在端点上的 AV、EDR、MDR 和 XDR。Morphisec 的 MTD 技术提供早期可见性和漏洞利用预防。它可以在不产生误报警报的情况下实现快速遏制。
为了更好地进行风险管理,组织应采取预防性方法,在漏洞渗透之前主动阻止它们。Morphisec 的移动目标防御技术对攻击者使用多态性来隐藏威胁参与者的漏洞,同时减少您的攻击面。要了解更多信息,请阅读 Morphisec 的白皮书:零信任 + 移动目标防御:阻止 NGAV 和 EDR 失败的勒索软件、零日和其他高级威胁。
白皮书:https://engage.morphisec.com/the-ultimate-ransomware-strategy
原文翻译自:https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
原文始发于微信公众号(Ots安全):通过 VMWARE 漏洞提供的新核心影响后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论