|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
本文为@天明师傅原创投稿,感谢分享!
0x01 前言
之前某一次写关于Vcenter漏洞文章的时候,了解了一个比较冷门的漏洞,CVE-2021-21980:VMware vCenter Server文件读取漏洞。
https://github.com/Osyanina/westone-CVE-2021-21980-scanner
0x02 追溯过程
从项目的about信息来看,这是一个检测CVE-2021-21980漏洞的扫描器,这里没什么问题。
具体链接:https://cert.360.cn/warning/detail?id=4d4d73e332ff08a42571f8cc7d6aa770
在nuclei的poc中有一个referer的链接。https://github.com/l0ggg/VMware_vCenter,访问后正是该漏洞的详情,里面包含了漏洞的测试截图和POC:
到这里其实已经真相大白了,这个POC是一个假的POC,大概率是后门。
2.2、关于扫描exe的分析
下载可执行程序的exe,计算sha1值。
mimikatz@mimikatzdeMBP Downloads % shasum -a 1 CVE-2021-21980.exe2ee2cdf0c6331e5422ec5fda9d8403686ca239e4 CVE-2021-21980.exe
微步在线查杀结果:3/25
网络外联情况:
微步:
virustotal:
13.107.4.52192.229.211.10820.49.157.620.99.184.3720.99.186.24623.216.147.6723.216.147.7695.101.143.1095.101.143.24
关注的时间重点放在2023年5月29日。
2.3、关于IP地址的追踪
2.3.1、13.107.4.52 - lockbit 3.0
在微步里面查询这个IP,有323个通信样本,老带恶人了。查看安全博客相关,发现了一篇与LockBit 3.0的勒索案例研究相关的文章提到了该IP地址。
查看文章发现在分析LockBit 3.0的时候发现该IP地址与勒索使用的Resume5.exe有网络连接的情况。
https://x.threatbook.com/v5/article?threatInfoID=41875
https://blog.criminalip.io/2022/09/23/lockbit-3-0-ransomware/
时间是在2022年9月11日,而发现的时间是在2023年5月29日。这说明这玩意儿确实可能是LockBit 3.0的一个投毒的基础设施。
2.3.2、192.229.211.108-恶意
样本时间有2023年4月的,实锤属于恶意基础设施:
2.3.3、20.49.157.6
2.3.4、20.99.184.37-恶意
恶意基础设施+1:
2.3.5、20.99.186.246-恶意
2.3.6、23.216.147.67
2.3.7、23.216.147.76-MuddyWater组织
https://www.secrss.com/articles/51028
2.3.8、95.101.143.10
恶意样本通讯:
2.4、github账户追溯
类似案例:
从他的项目里面还发现了一个中文项目,判断应该是国人。
0x03 总结
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
知 识 星 球
推 荐 阅 读
原文始发于微信公众号(潇湘信安):记一次Fake-POC投毒项目的追溯
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论