1. 概述

    2023年6月28日FREEBUF发布的安全资讯《西门子能源遭遇勒索软件攻击，大量数据被盗！》^[1]称“西门子能源”公司遭遇了一次Cl0p勒索软件攻击，该软件利用MOVEit Transfer平台的一个0day漏洞（CVE-2023-34362）窃取了该公司数据。白泽网络安全实验室针对这一安全事件进行了深度挖掘整理。

    “西门子能源”是一家总部位于慕尼黑的能源技术公司，业务遍及全球，拥有 91,000 名员工，年收入为 350亿美元。其主要业务为设计、开发和制造各种工业产品，包括工业控制系统 （ICS）、最先进的电力、发热装置、可再生能源系统、现场和非现场能源输送系统以及灵活的电力传输解决方案。该公司还为石油和天然气行业提供广泛的网络安全咨询服务，包括事件响应计划、漏洞评估和补丁管理。

    根据Progress官方称，在 MOVEit Transfer Web 应用程序中发现一个 SQL 注入漏洞，该漏洞可能允许未经身份验证的攻击者未经授权访问 MOVEit Transfer 数据库。攻击者可以将构建的有效载荷提交到运行 MOVEit Transfer 应用程序的服务器，这可能导致MOVEit 数据库内容被篡改和泄露。

    本报告按如下关键节点梳理Cl0p攻击事件：遭受Cl0p攻击的事件脉络；

• Progress官方发布的漏洞修订信息；

• 后门攻击流程；

• 漏洞检测方法；

• 缓解建议；

2. 事件脉络

    根据白泽网络安全实验室对漏洞利用攻击事件的追踪，使用MOVEit服务的地域主要在美国，如图2-1所示。

图 2-1 攻击事件发生的地域

    攻击中提到的后门之一是human2.aspx。这些后门程序自2023年5月28日被上传到公共服务站点，而5月29日是美国“阵亡将士纪念日”（每年5月的最后一个周一）。这意味着攻击者可能利用美国的联邦假日无人值守或防御松懈时对目标系统进行攻击。

2.1 遭受漏洞攻击事件脉络

图 2-2 漏洞攻击事件脉络

2.2 MOVEit供应商品对漏洞信息历史修订信息

图2-3 MOVEit发布的历史修订记录

3. CLOP简介

    CLOP(或 cl0p) 源自俄语单词“klop”，翻译为“臭虫”。CLOP勒索软件由 McAfee 安全研究人员 于 2019 年 2月首次发现，隶属于 CIyptoMix 勒索软件家族，是由 “FANCYCAT”组织创建和管理，在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS)，将勒索软件传播到附属网络。

    美国卫生部门网络安全协调中心 (HC3) 在一份分析报告^[2]中透露，Cl0p 勒索软件据信是在俄罗斯开发的，是 FIN11 和其他俄罗斯分支机构等组织的流行有效负载。2021年6月，美国、乌克兰和韩国官员还逮捕了6名 Clop勒索软件团伙成员，但这并没有导致 Clop 停止攻击，而有关 Clop 勒索软件攻击的报告在 2022年底至 2023 年初又开始重新出现。

    Cl0p勒索软件在加密受害者的文件后使用“.clop ”扩展名。该病毒的一个独特特征是其在勒索字条中留下的字符串“Don’t Worry C|0P”。该勒索软件会尝试禁用 Widows Defender 并删除 Microsoft Security Essentials 以规避检测。此外，根据媒体公开信息显示，该组织还利用以下常见漏洞进行攻击: CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104 和 CVE-2021-35211 开展勒索攻击活动。

4. 漏洞信息

4.1 软件及漏洞信息

    Progress MOVEit 是领先的安全托管文件传输 （MFT） 软件，提供敏感数据的安全传输，支持部署为服务器、云服务或者本地。

    2023年5月31日，Progress Software披露了一个关键的SQL注入漏洞，该漏洞被分配为CVE-2023-34362，并且已经被发现该漏洞的在野利用情况。2023年6月9日，该公司发布MOVEit的第二个漏洞（CVE-2023-35036）补丁，以解决第一个补丁未完全缓解利用链的几个部分。紧接着于2023年6月15日发布第三个漏洞（CVE-2023-35078）的补丁。

表 4-1 受影响版本及修复版本

受影响版本	修复版本
MOVEit  Transfer 2023.0.0 (15.0)	MOVEit Transfer  2023.0.2 (15.0.2)
MOVEit  Transfer 2022.1.x (14.1)	MOVEit Transfer 2022.1.6 (14.1.6)
MOVEit  Transfer 2022.0.x (14.0)	MOVEit Transfer  2022.0.5 (14.0.5)
MOVEit  Transfer 2021.1.x (13.1)	MOVEit Transfer 2021.1.5 (13.1.5)
MOVEit  Transfer 2021.0.x (13.0)	MOVEit Transfer  2021.0.7 (13.0.7)
MOVEit  Transfer 2020.1.x (12.1)	更新专用补丁
MOVEit  Transfer 2020.0.x (12.0) or older	必须进行升级到受支持的安全版本
MOVEit Cloud	更新到14.1.6.97 或 14.0.5.45

4.2 后门流程分析

    在攻击期间上传的human2.aspx后门允许攻击者执行以下操作：

• 获取MOVEit Transfer中所有文件夹、文件和用户的列表；

• 下载MOVEit Transfer中的任意文件；

• 将管理后门用户插入MOVEit，并为攻击者提供活动会话，以绕过凭据验证；

后门human2.aspx流程如下：

• 当页面加载时，将根据硬编码密码检查名为 X-siLock-Comment 的请求标头。如果密码不匹配，则返回 404 错误码；

• 读入名为 X-siLock-Step1 的请求标头的值（-1，-2或null）,根据值执行后续操作：

•  如果 X-siLock-Step1 值为 -1（如图4-1所示）：

• Azure博客将存储的账户、密钥、容器ID附加到响应头；

• 从Gzip流中获取并返回以下内容：

• 存储在MOVEit中的所有文件夹和文件列表；

• 文件所有者和文件大小；

• MOVEit实例中的所有字段名称；

图 4-1 请求标头值为-1时的操作

• 如果 X-siLockStep1 值为 -2：

• 删除名为“Health Check Service”的后门用户，如图4-2所示

图 4-2 删除后门操作

• 如果未指定 X-siLockStep1 值，则后门程序将读取两个标头：X-siLock-Step2和 X-siLock-Step3，如图4-3所示：

• 如果存在这些值，则后门程序将使用请求的文件进行响应；

• 如果这些值不存在，则后门将做如下操作：

• 将名为“Health Check Service”的管理用户添加到用户表中；

• 为此用户创建新的活动会话并将其插入到应用程序中；

图 4-3 插入后门账户并激活会话

5. 检测方法及缓解建议

5.1 被入侵检测

• 检查 MOVEitTransferwwwroot 目录中是否有最近创建的任何可疑文件，例如具有相同时间戳的“human2.aspx”或“App_Web_[随机值].dll”文件；

• 检查MOVEit或防火墙日志中是否有来自MOVEit环境的大量出站网络数据传输；

• 在MOVEit用户数据库中检查名为“Health Check Service”的用户；

• 检查MOVEit数据库中的用户“Health Check Service”的活动会话；

• 使用yara规则^[3]检测已知ASPX webshell后门；

• 在防火墙和MOVEit日志中搜索第7节IoCs中列出的对已知IP地址的请求；

5.2 缓解建议

5.2.1 缓解措施:

    为了帮助防止将上述 SQLi 漏洞成功利用到 MOVEit 传输环境中，我们强烈建议立即按照以下步骤应用以下缓解措施，具体操作按照Progress官方文档操作^[4]。

表 5-1 缓解措施重点步骤

操作	内容
禁用	所有到MOVEit环境中的所有HTTP 和 HTTPs 流量
删除	未经授权的文件和用户帐户
	human2.aspx（或任何带有 human2 前缀的文件）和 .cmdline 脚本文件的全部实例
	C:WindowsMicrosoft 中的所有APP_WEB_[随机值].dll 文件
	所有未经授权的用户帐户
重置	受影响系统和 MOVEit 服务帐户的服务帐户凭据

5.2.2 及时更新补丁

    根据Progress官方给出的对应版本进行补丁操作^[4]

图 5-1 Progress官方给出的补丁方法

6. 总结

    根据对Cl0p勒索西门子能源公司事件的深度挖掘分析，该勒索组织的攻击活动异常活跃，仅仅半个月时间就攻击了非常多的企业。在漏洞被挖掘后利用防御松懈的节假日将有效利用后门投入攻击活动，即使在软件原始服务商监控到并立刻对漏洞发布补丁后，依然公开进行勒索攻击活动。

    此次攻击活动中多数受害企业在国外，不过根据公开查询到的信息，国内也有不少企业正在使用MOVEit Transfer服务。虽然软件供应商已经发布了更新补丁，但是我们依旧不能掉以轻心。白泽网络安全实验室强烈建议各企业及时关注并更新运行的服务，并在节假日安排专人进行值守。

7. IoCs

• 文件名

human2.aspx

• Account

Health Check Service

• SHA256

0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495

2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5

348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d

387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a

3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b

3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409

4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf

48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a

5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff

6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d

702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0

9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead

9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a

a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7

b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272

c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4

c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37

cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45

d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899

d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195

daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4

e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a

f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d

fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f

• HTTP Header

X-siLock-Comment

X-siLock-Step1

X-siLock-Step2

X-siLock-Step3

• IP地址

89.39.105[.]108

5.252.190[.]0/24

5.252.189-195[.]0/24

138.197.152[.]201

209.97.137[.]33

参考链接

[1] https://www.freebuf.com/news/370492.html

[2] https://industrialcyber.co/medical/after-targeting-water-sector-hc3-confirms-clop-ransomware-attacks-against-healthcare-organizations

[3] https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability

[4] https://www.trustedsec.com/blog/critical-vulnerability-in-progress-moveit-transfer-technical-analysis-and-recommendations/

[5] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

[6] https://www.sangfor.com/blog/cybersecurity/Cl0p-ransomware-gang-what-you-need-to-know

[7] https://github.com/horizon3ai/CVE-2023-34362

[8] https://nvd.nist.gov/vuln/detail/CVE-2023-34362

[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34362

[10] https://github.com/sfewer-r7/CVE-2023-34362

[11] https://attackerkb.com/topics/mXmV0YpC3W/cve-2023-34362/rapid7-analysis

[12] https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/

[13] https://github.com/NCSC-NL/Progress-MoveIT-CVE-2023/blob/main/iocs_detection/yara/README.md

[14] https://www.quorumcyber.com/malware-reports/clop-ransomware/

原文始发于微信公众号（白泽安全实验室）：西门子能源遭遇勒索攻击事件深度分析