Zerologon 漏洞攻擊公司的域控制器

最近，一個名為Zerologon的嚴重漏洞–CVE-2020-1472–已成為全球范圍內的趨勢主題。

此漏洞將使您在內部網絡中立足的惡意代理實質上只需單擊一下即可成為Domain Admin。從攻擊者的角度來看，與域控制器進行通信時，這種情況是可能的。

盡管與內部網絡和域控制器的通信只能在Intranet上進行，但是許多網絡的策略薄弱且基于網絡隔離和分段的體系結構很差，例如，這允許位于DMZ的Web服務器也可以與內部網絡資產和域控制器進行內部通信。詳細地講，網絡分段涉及將網絡劃分為較小的網絡。而網絡隔離涉及制定和執行規則集來控制特定的主機和服務之間的通信。

為了利用這些潛在的漏洞，外部代理濫用了File-Manager插件中的漏洞–CVE-2020-25213，該漏洞允許在服務器端執行任意代碼（RCE漏洞）。下面的圖1強調了這里說明的問題。

圖1：從黑盒開發到域控制器哈希的NTFS流程圖，其通過CVE-2020-25213和CVE-2020-1472轉儲。

根據WordFence的數據，到2020年9月4日，記錄到超過170萬個站點受到攻擊，而到2020年9月10日，受攻擊的站點總數已超過260萬。同時，影響WP-Manager WordPress插件的CVE-2020-25213仍被犯罪分子利用。

據安全研究人員稱：“我已經為項目作者發送了易受攻擊的插件的文章和POC，但沒有得到任何回應，我的私人帖子也被刪除了。elFinder.py 問題是互聯網上存在許多腳本的常見漏洞，我的腳本僅更改為“wp-content”路徑。

圖2：PoC – CVE-2020-25213。

使用漏洞利用后，可以在執行易受攻擊的WordPress網站的服務器上執行Web Shell。下面的請求演示了如何執行此攻擊。

從Web服務器（/ etc / passwd 文件）中提取的數據和遠程Shell可以用來利用這種情況。

圖3：通過CVE-2020-25213對/ etc / passwd文件的滲透。

從這里開始，建立遠程高特權外殼可能很容易。幾個威脅小組濫用了此漏洞，以便在內部網絡上建立最初的立足點并進行橫向移動。

犯罪分子如何濫用此漏洞

從最后幾天開始，SI-LAB觀察到罪犯在更多樣化的情況下濫用了此漏洞，即：

• 要傳播網絡釣魚活動，請在野外傳播惡意軟件；
• 植入后門以竊取數據，信用卡信息或敏感信息（PII）；
• 在特定頁面（例如，index.php）內的源代碼中添加cryptominers（java腳本）；和
• 升級內部網絡并濫用Zerologon漏洞攻擊域控制器。

在分析某些受到威脅的系統時，SI-LAB收集了以下描述和說明的一些惡意植入物。

圖4：在多個受損的WordPress網站上發現的Cryptominer腳本。

詳細地， 安裝并分析了所有WordPress模板的每個 header.php文件（圖5），添加了圖4中所示的cryptominer。請注意，整個惡意鏈都是由威脅作者自動完成的：“ 2020年9月10日，受攻擊的站點總數已增加到260萬以上，WordFence說。

*圖5： 加密了cryptominer腳本的WordPress header.php文件。*

在其他系統中，發現了其他類型的腳本，即webshel??l和SMTP發件人，以利用社交工程活動（圖6）。

圖6：罪犯使用SMTP發件人利用社會工程活動。

還觀察到了Autopwn腳本-這證實了騙子已使勘探過程實現了自動化。

圖7：騙子用來探索CVE-2020-25213漏洞的Autopwn腳本。*

其他有趣的植入方法（也由WordFence記錄）涉及到受感染系統中添加的一段代碼，當在WordPress面板中進行用戶身份驗證時，該代碼實質上將用戶的憑據發送到由罪犯管理的Telegram通道。

*圖8： 將敏感信息發送到Telegram香奈兒的代碼片段。*

在分析的網站上（葡萄牙）可能確定的威脅作者與WordFence確定的威脅有關。

根據WordFence的說法，“如果您的網站已被“ bajatax”威脅因素破壞，那么至關重要的是，在與所有用戶聯系之前，先徹底清理網站，并告知他們其憑據可能已經受到損害，尤其是在運行時一個電子商務網站。

在其他更具體的情況下，也注意到一些威脅行為者使用此漏洞來利用Zerologon漏洞。在最初的立足點之后，并且當存在較差的網絡分段時，可能會基于樞軸攻擊在網絡上進行橫向移動。

以受損的機器為中心，利用Doman Controller是真實的，并且組織可能會遭受這種情況的巨大損失。破壞域控制器就像破壞計算機網絡一樣。

此外，還可以從域控制器中竊取NTLM哈希值（包括域管理員哈希值），并通過傳遞哈希攻擊訪問在該域中注冊的所有計算機。python3cve-2020-1472-exploit.py DOMAIN_NAME 192.168 .x.x執行身份驗證嘗試…============================================ ================================================== ================================================== ================================================== ==========================================目標易受攻擊者，將帳戶密碼更改為空stringResult：0漏洞利用完成！

圖9：域控制器NTLM通過CVE-2020-1472哈希散列。

Zerologon一直是最近幾天的熱門話題，因此，其他媒介也很少受到關注。由于可以在整個分析過程中進行分析，犯罪分子利用了網絡漏洞，在這種情況下，與WordPress WP-Manager插件關聯的CVE-2020-25213在內部網絡中獲得了特權外殼。

已經通過橫向移動進行了網絡偵察，使用Zerologon識別并探索了域控制器。此漏洞很嚴重，并且基于加密漏洞，可以將帳戶計算機密碼更改為空。

*圖10： Zerologon漏洞（https://www.cynet.com/zerologon/）。*

最后，然后可以遠程提取域控制器NTML哈希。請注意，必須快速恢復機器密碼，否則DC將不會同步，這可能會中斷網絡。

Cynet還發布了一些關鍵工件的詳細信息，這些工件可用于檢測對漏洞的主動利用，包括lsass.exe內存中的特定內存模式以及lsass.exe之間的流量異常高峰。

圖11：** Zerologon檢測（https://www.cynet.com/zerologon/）。

“記錄最完整的工件是Windows事件ID 4742’計算機帳戶已更改’，通常與Windows事件ID 4672’分配給新登錄的特殊特權’結合在一起。”

為了讓Windows Server用戶快速檢測到相關攻擊，專家還發布了YARA規則，該規則可以檢測在部署之前發生的攻擊，而對于實時監視，還可以下載一個簡單的工具。

但是，要完全解決此問題，用戶仍然建議盡快安裝Microsoft的最新軟件更新。

Pedro Tavares是信息安全領域的專家，曾擔任道德黑客，惡意軟件分析師，網絡安全分析師以及安全宣傳員。他還是CSIRT.UBI的創始成員，也是安全計算機博客seguranca-informatica.pt的總編輯。