使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动

admin 2023年12月9日13:11:10评论116 views字数 673阅读2分14秒阅读模式

使用SHC-Update漏洞数据订阅分析工具,提取CVE-2023-50164漏洞公开信息。

使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动

目前CVE-2023-50164漏洞已经公开,但尚未在网上出现POC(Proof of Concept)。使用复杂之眼EDR来提前检测终端机器,以确定是否受到CVE-2023-50164漏洞攻击而导致终端失陷。通过漏洞详情可以看出,该漏洞需要上传恶意webshell,并连接webshell管理工具进行远程代码执行

使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动

影响版本[  "Apache Struts 2.5.32",  "Apache Struts 6.3.0.1"]

结合时间线进行排查

漏洞创建时间:2023-12-04 9:30:29漏洞披露时间:2023-12-07 9:15:07漏洞修改时间:2023-12-07 21:30:28

根据客户的生产环境所使用的web服务组件不同和安装目录有变化,下面是排查示例meql语句,语句意思是搜索关于\Tomcat 9.0webapps\目录下是否有可疑命令执行行为,一般是webshell客户端连接产生的行为,排查时间选择可以根据漏洞公开时间进行提前排查,客户组织机构可以选择所有部署完复杂之眼EDR的机器全网排查。

使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动

检索异常的命令执行活动

ProcessCommandLine IN Contains ("\Tomcat 9.0webapps\", "ipconfig", "whoami", "net user") AND ProcessParentName Contains "cmd.exe"


原文始发于微信公众号(技可达工作室):使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月9日13:11:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用复杂之眼EDR排查CVE-2023-50164漏洞利用活动https://cn-sec.com/archives/2282924.html

发表评论

匿名网友 填写信息