MOVEit傳輸軟件被利用，投放竊取文件的SQL shell

SentinelOne發現MOVEit文件傳輸服務器應用程序中的CVE-2023-34362漏洞遭到了野外（ITW）攻擊。該攻擊投放Microsoft IIS .aspx惡意載荷，使受影響的Web服務器和連接的Azure blob存儲之間的交互受到限制。6月5日，Cl0p勒索軟件組織聲稱對這些攻擊負責，不過SentinelOne特別指出，針對文件傳輸應用程序漏洞的攻擊與2023年初以牟利為目的的攻擊者進行的其他攻擊相似。

我們在這篇文章中提供了攻擊鏈的技術細節，以及可用于掃描MOVEit傳輸漏洞是否可能被利用的狩獵查詢和PowerShell腳本。

概述

在2023年5月的最后一周和6月初，SentinelOne觀察到運行Progress Software的MOVEit Transfer文件服務器應用程序高危版本的Windows服務器被大肆利用。攻擊投放了一個精簡的webshell，攻擊者可以使用它來泄露文件的內容，包括當受攻擊的MOVEit實例被配置為使用Azure的blob存儲服務時，托管在Microsoft Azure中的文件。6月5日，Cl0p勒索軟件組織聲稱對這些活動負責。

雖然利用漏洞可能是伺機作案，但SentinelOne觀察到下列行業的20多家組織受到了攻擊，其中最頻繁受到影響的是托管安全服務提供商（MSSP）和托管信息技術服務提供商（MSP）：

航空、運輸與物流

娛樂

金融服務及保險

醫療保健、制藥和生物技術

托管信息技術服務供應商（MSP）

托管安全服務提供商（MSSP）

制造業及建筑材料

機械工程

印刷和數字媒體

技術

公用事業及公共服務

漏洞影響以下版本的MOVEit Transfer：

MOVEit Transfer 2023.0.0：在2023.0.1中已修復

MOVEit Transfer 2022.1.x：在2022.1.5中已修復

MOVEit Transfer 2022.0.x：在2022.0.4中已修復

MOVEit Transfer 2021.1.x：在2021.1.4中已修復

MOVEit Transfer 2021.0.x：在2021.0.6中已修復

技術細節

這些攻擊是針對運行MOVEit文件傳輸應用程序高危版本的Windows服務器進行的，攻擊者可以通過端口掃描或Shodan等互聯網索引服務來識別高危目標。

Progress Software最近發布了一份安全公告，詳細介紹了MOVEit Transfer中的一個漏洞，該漏洞可能會導致特權升級和對目標環境的未經授權訪問。該公告將此問題詳細描述為SQL注入漏洞（CVE-2023-34362），該漏洞允許未經授權的攻擊者注入SQL命令，并從目標數據庫獲取信息。

攻擊鏈利用該漏洞通過moveitsvc服務帳戶將任意文件上傳到服務器的\MOVEitTransfer\wwwroot\目錄。系統的svchost.exe進程啟動w3wp.exe，這是微軟Internet信息服務（IIS）worker進程，然后將幾個文件寫入到Temp中的新工作目錄。該工作目錄和后續文件共享相同的8字符偽隨機命名語法，其中一個示例寫入以下文件：

C:\Windows\Temp\royq2cir

C:\Windows\Temp\royq2cir\ royq2cir.tmp

C:\Windows\Temp\royq2cir\ royq2cir.0.cs

C:\Windows\Temp\royq2cir\ royq2cir.dll

C:\Windows\Temp\royq2cir\ royq2cir.cmdline

C:\Windows\Temp\royq2cir\ royq2cir.out

C:\Windows\Temp\royq2cir\ royq2cir.err

w3wp.exe進程啟動csc.exe將C#代碼編譯成惡意載荷，惡意載荷保存為human2.aspx。惡意載荷是一個精簡的webshell，用于查詢有關數據庫配置的信息，使攻擊者能夠執行以下操作：

連接到指定的SQL數據庫，

泄露由MOVEit Transfer托管的文件內容。

當MOVEit Transfer連接到Azure blob存儲時，泄漏Azure blob存儲服務中特定文件的內容。

為了泄露文件，攻擊者可以在向webshell發出請求的HTTP頭中指定目標對象的File ID和Folder ID。然后shell在服務器的HTTP響應中以Gzip對象的形式返回指定文件的內容。shell還刪除名為“Health Check Service”的現有用戶，并使用相同的用戶名創建一個新用戶，這可能是為了持久潛伏。

截止本文發稿時，SentinelOne尚未觀察到部署webshell后的后續活動。

緩解和預防

使用MOVEit Transfer的組織應立即升級受影響的系統。在無法執行升級的情況下，應該使系統脫機，直到可以升級為止。確保你的安全團隊可以訪問和分析運行MOVEit Transfer的服務器上的應用程序日志，包括Microsoft IIS日志。

由于攻擊者是通過與MOVEit Transfer在應用程序層面的交互來利用漏洞的，因此端點檢測與響應（EDR）工具的檢測機會僅限于后期活動。SentinelOne特別指出，每個惡意載荷在運行時都是動態編譯的，因此每個受害者都有一個唯一的哈希值。雖然我們提供了與通過這些活動投放的惡意載荷相關的哈希列表，但組織不應該僅依賴哈希來檢測這些攻擊。

我們建議運行MOVEit Transfer的組織使用下面提供的資源進行威脅搜索和日志分析。

狩獵查詢

SentinelOne提供了以下查詢，組織可以用來狩獵與這些攻擊相關的活動。雖然這些查詢不一定覆蓋所有攻擊場景，但結果應該已進行調查和分類。此外，防御者應該尋找由MOVEit Transfer服務帳戶發起的異常活動：默認值是moveitsvc，不過有些實例可能具有自定義帳戶名稱。

除了這些查詢外，SentinelOne還提供一個腳本來掃描MOVEit Transfer漏洞是否可能被利用的情況（https://github.com/SentineLabs/MOVEit-IIS-Log-Scanner）。

結論

基于SentinelOne觀察到的活動，我們認為攻擊者的目的是建立訪問盡可能多的受害者環境的途徑，以便大規模泄露文件。

雖然Cl0p勒索軟件組織聲稱對這些攻擊負責，但SentinelOne特別指出，這些技術與這個更廣泛的趨勢相一致：以牟利為目的攻擊運行高危文件傳輸軟件的web服務器。這類活動包括針對Aspera Faspex軟件的攻擊，攻擊者在2023年早些時候投放了IceFire勒索軟件，以及Cl0p利用GoAnywhere托管文件傳輸（MFT）應用程序中的零日漏洞進行的攻擊。基于使用零日和N日漏洞的文件傳輸服務器攻擊相對增加，外頭可能存在一個針對企業文件傳輸應用程序的漏洞開發生態系統。

攻擊者選擇使用MOVEit漏洞來攻擊Azure云存儲中的文件值得注意，如果該活動僅與Cl0p勒索軟件組相關。Bianlian和Karakurt等側重云的勒索組織使用Rclone和Filezilla等多用途文件管理工具。定制的webshell旨在通過目標環境所特有的SQL查詢來竊取Azure文件，這明顯不合常規，表明該工具可能在ITW攻擊之前已開發和測試得很好。

攻陷指標

與利用高危MOVEit Transfer實例相關的文件包含以下內容。

SHA1

d013e0a503ba6e9d481b9ccdd119525fe0db7652

34d4b835b24a573863ebae30caab60d6070ed9aa

c8e03cb454034d5329d810bbfeb2bd2014dac16d

eee9451901badbfbcf920fcc5089ddc1ee4ec06d

73f19114d61bd09789788782f407f6fe1d6530b9

7d91f5b03932793ff32ad99c5e611f1e5e7fe561

a2f74b02f29f5b1a9fe3efe68c8f48c717be45c2

c756c290729981d3804681e94b73d6f0be179146

11608a031358817324568db9ece1f09e74de4719

b8704c96436ffcbd93f954158fa374df05ddf7f6