威脅分子通過多條攻擊鏈大肆利用Progress WS_FTP漏洞 - 網安 - 專業的網絡安全產業、社區、知識平臺

從2023年9月30日開始，SentinelOne觀察到一伙威脅分子利用Progress的WS_FTP最近披露的漏洞，攻擊運行該軟件高危版本的Windows服務器。兩個最嚴重的漏洞是CVE -2023-40044和CVE -2023-42657，CVSS評分分別為10分和9.9分。

我們觀察到至少有三種類型的多階段攻擊鏈，它們從漏洞利用開始，然后下達命令從遠程服務器下載攻擊載荷，常常通過IP地址URL，這種活躍的漏洞利用標志著Progress Software產品在2023年遭到第三波攻擊。

雖然漏洞利用可能是伺機下手，但信息技術托管服務提供商（IT MSP)、軟件和技術、法律服務、工程和建筑、石油和天然氣、醫療保健和非營利等行業部門的組織都受到了影響。

技術細節

漏洞利用活動可能會顯示在命令日志中，比如引用父進程中應用程序池WSFTPSVR_WTM以進行后續漏洞利用活動的活動，比如：

C:\Windows\SysWOW64\inetsrv\w3wp.exe -ap "WSFTPSVR_WTM" -v "v4.0" -l

"webengine4.dll" -a \\.\pipe\iisipme{GUID_String} -h

"C:\inetpub\temp\apppools\WSFTPSVR_WTM\WSFTPSVR_WTM.config" -w "" -m 1

-t 20 -ta 0

利用WS_FTP漏洞之后出現了幾條攻擊鏈。

攻擊鏈1：編碼的PowerShell和Certutil投放Metasploit

該漏洞調用的命令執行以下操作：

?檢查系統架構是32位還是64位：腳本使用該信息從正確的路徑運行PowerShell。

?使用經過混淆處理的字符串來禁用腳本執行時的PowerShell日志記錄。

?解碼、提取和執行由Base64編碼、由Gzip壓縮的字符串，并將解碼后的值作為一個新進程來啟動。

圖1. 含有攻擊鏈1的編碼命令

上面經過混淆處理的代碼含有的C#代碼有這幾個函數或功能：

?14函數：使用.Net反射從Windows API獲取GetProcAddress方法和GetModuleHandle方法。

?pR函數：設置參數，以便動態組裝運行。

?$dYKA變量：解碼由base64編碼的PowerShell代碼，該代碼含有對certutil的調用，以便從IP地址URL下載攻擊載荷。

?$pq5zc變量：使用VirtualAlloc為外殼代碼（shellcode）分配內存。

?將外殼代碼拷貝到已分配的內存中。

?創建并執行一個新線程，以便外殼代碼使用所有已建立的參數來運行。

圖2. 負責運行certutil.exe調用的C#代碼，該調用從遠程服務器下載攻擊載荷

新的進程是certutil.exe，帶有-urlcache標志，用于從IP地址URL下載攻擊載荷。該命令的示例如下：

圖3. 解碼的certutil.exe命令，該命令下載攻擊載荷，并作為新進程啟動

VirusTotal上的檢測規則將從該服務器下載的攻擊載荷（SHA-1: 83140ae9951b66fba6da07e04bfbba4e9228cbb8）分類為Metasploit階段。在這種情況下，活動崩潰，導致系統啟動Windows錯誤報告二進制文件WerFault.exe。由于我們在幾分鐘后看到了另外的漏洞利用嘗試，我們認為這次嘗試未得逞，導致威脅分子再次嘗試。

攻擊鏈2：通過cl.exe 進行Curl &實時編譯

另一條攻擊鏈使用curl下載由cl.exe執行的攻擊載荷，在運行時動態編譯攻擊載荷。攻擊鏈是這樣的：

雖然該工具可用于合法的安全測試目的，但我們無法確認可以將這起活動歸因于攻擊性安全團隊。然而，AssetNote把oastify[.]com查詢整合到漏洞分析中，這種分析包括使用Ysoserial .NET反序列化小工具利用漏洞的逐步演練。防御者可以針對oastify[.]com的子域使用curl或nslookup來識別這些調用。

攻擊鏈3：可執行文件和AD活動

這條攻擊鏈利用了位于服務器的ProgramData路徑中的許多不同的Windows可執行文件。雖然有對PowerShell的調用，但這條攻擊鏈不使用任何腳本。相反，下面列出的每個命令都是由一系列可執行文件調用的，這些可執行文件的名稱很短，通常由一個字母和一個數字組成，比如n1.exe、n2.exe和s.exe等。我們無法獲得這些二進制文件進行分析。

二進制文件xmpp.exe由開發遠程管理軟件的SimpleHelp公司簽名。每次在后續命令執行之前，xmpp.exe二進制文件都會執行。威脅分子很可能使用xmpp.exe作為一種遠程訪問工具。

威脅分子試圖向Administrators（管理員）組添加名為temp的活動目錄（AD）用戶，其密碼為p@ssw0rd123，如果添加成功，將提供權限升級。接下來是幾次嘗試，試圖添加同一個用戶而不添加到Administrators組，最后是對whoami進行調用，這顯示了控制臺會話的活躍用戶。按照事件的這個順序，添加Administrative用戶的嘗試很可能失敗。由于該活動在whoami命令之后停止，所以創建普通用戶很可能成功。

結論

如果組織使用Progress的WS_FTP產品，應該立即更新版本或將受影響的系統斷網，這些攻擊很可能是伺機下手，威脅分子掃描互聯網，尋找易受攻擊的系統。

如果將這起活動與6月份Clop勒索軟件組織發起的MOVEit大規模漏洞利用攻擊進行比較，則有一線希望：Censys研究團隊發現，與如今易受攻擊的MOVEit Transfer實例數量相比，網上WS_FTP實例要少得多。

發現這些漏洞的研究人員特別指出，由于之前在MOVEit Transfer中的發現，他們分析了更多的文件傳輸產品。我們在此基礎上可以假設，隨著研究人員專注于這類產品套件，更多的漏洞將被識別、淪為武器化，基于目前和過去的成功，漏洞研究人員對Progress給予了更大的關注。

攻陷指標

網絡指標—URL

hxxp://34[.]77[.]65[.]112:25565

hxxp://103[.]163[.]187[.]12:8080/3P37p073LKuQjOE64pjEVw

hxxp://103[.]163[.]187[.]12:8080/c8e3vG0e3TMiqcjcZOXhhA

hxxp://103[.]163[.]187[.]12:8080/cz3eKnhcaD0Fik7Eexo66A

hxxp://103[.]163[.]187[.]12:8080/Sw8J6d3NVuvrBiTCXrg4Og

hxxp://103[.]163[.]187[.]12:8080/xkJ5de2brMfvCNNnBoRRAg

hxxp://141[.]255[.]167[.]250:8081/o1X7qlIaYzSmCj[.]hta

hxxp://176[.]105[.]255[.]46:8080/aqmCG0mZlo_xnZRAWbz6MQ

hxxp://176[.]105[.]255[.]46:8080/OFmLqOxFRIkoENjCZsC7OQ

hxxp://176[.]105[.]255[.]46:8080/Rn0KQbPo22laaUbKGy30sg

hxxp://81[.]19[.]135[.]226:8080/_1TZ–18Hpqm06wvtjLMAg

hxxps://filebin[.]net/soa40iww2w8jhgnd/svchostt[.]dll

hxxps://tmpfiles[.]org/dl/2669123/client[.]txt

hxxps://tmpfiles[.]org/dl/2669853/client[.]txt

hxxps://tmpfiles[.]org/dl/2671793/sl[.]txt

45[.]93[.]138[.]44/cl[.]exe

網絡指標– 域

2adc9m0bc70noboyvgt357r5gwmnady2[.]oastify[.]com

bgvozb1wnz86q952zxjlwusv2m8gw5[.]oastify[.]com

qzt3iqkb6erl9oohic20f9bal1rsfh[.]oastify[.]com

網絡指標– IP地址

34[.]77[.]65[.]112

45[.]93[.]138[.]44

81[.]19[.]135[.]226

103[.]163[.]187[.]12

141[.]255[.]167[.]250

176[.]105[.]255[.]46

文件哈希– SHA-1

1d41e0783c523954ad12d950c3805762a1218ba6

1d7b08bf5ca551272066f40d8d55a7c197b2f590

32548a7ef421e8e838fa31fc13723d44315f1232

3fe67f2c719696b7d02a3c648803971d4d1fd18c

40b2d3a6a701423412bb93b7c259180eb1221d68

65426816ef29c736b79e1969994adf2e74b10ad8

790dcfb91eb727b04d348e2ed492090d16c6dd3e

83140ae9951b66fba6da07e04bfbba4e9228cbb8

83e6ede4c5f1c5e4d5cd12242b3283e9c48eea7e

8c14a4e7cee861b2fad726fc8dd0e0ae27164890

8dbca2f55c2728b1a84f93141e0b2a5b87fa7d35

923fd8fb3ddc1358cc2791ba1931bb4b29580bb6

98321d034ddc77fe196c6b145f126b0477b32db9

b4a5bf6c9f113165409c35726aec67ff66490787

b70aa1d07138b5cae8dd95feba9189f1238ee158

d00169f5eff9e0f2b5b1d473c0ee4fe9a3d8980e

d669b3977ebebf7611dd2cb1d09c31b3f506e9bd

e5ac227f143ec3f815e475c0b4f4f852565e1e76

f045a41def1752e7f8ef38d4ce1f7bd5e01490fc