欢迎进入UG环球官网(环球UG)!

usdt不用实名(www.uotc.vip):xHunt的最新攻击手段剖析:通过BumbleBee Webshell提议攻击(上)

admin3个月前106

USDT场外交易网

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

2020年9月,Palo Alto Networks 的网络平安研究职员最先对科威特一家组织的Microsoft Exchange服务器举行观察,该组织在连续的xHunt攻击中受到攻击组织的连续攻击。研究职员在这项观察中发现了两个新的后门,划分称为TriFive和Snugy,以及一个名为BumbleBee的新Webshell破绽,研究职员将在此文中对其举行详细说明。

攻击者使用BumbleBee WebShell在受熏染的Exchange服务器上上传文件或从受熏染的Exchange服务器上下载文件,但更主要的是,运行攻击者用来发现其他系统并横向移动到网络上其他服务器的下令。研究职员发现BumbleBee托管在internal Internet Information Services (IIS) Web服务器上,该Web服务器与受熏染的Exchange服务器位于统一网络上,还托管在其他两个科威特组织的两个内部IIS Web服务器上,研究职员现在仍然不知道用于攻击Exchange服务器的初始熏染前言。

研究职员考察到,该攻击者直接与科威特组织受熏染的Exchange服务器上的BumbleBee Webshell交互,由于可以从Internet上接见该服务器。当直接接见可接见Internet的服务器上的BumbleBee时,攻击者使用了Private Internet Access提供的虚拟专用网络(VPN)。攻击者会经常在差其余VPN服务器之间切换,以更改服务器将存储在日志中的流动的外部IP地址。详细来说,攻击者将IP地址更改为差其余国家,包罗比利时、德国、爱尔兰、意大利、卢森堡、荷兰、波兰、葡萄牙、瑞典和英国。研究职员以为,这是在逃避检测并使恶意流动的剖析加倍难题的实验。研究职员还考察到攻击者在差其余操作系统和浏览器之间切换,尤其是在Windows 10,Windows 8.1或Linux系统上的Mozilla Firefox或Google Chrome。这解释攻击者可以接见多个系统,并使用它来使流动剖析加倍难题,或者涉及多个攻击者,他们对操作系统和浏览器的偏好差异。

除了使用VPN外,攻击者还使用SSH隧道与托管在内部IIS Web服务器上的BumbleBee Webshell举行交互,而这三个科威特组织都无法直接通过Internet举行接见。通过BumbleBee在服务器上执行的下令解释,攻击者使用PuTTY链接(Plink)工具确立SSH隧道来接见受熏染网络内部的服务。研究职员考察到攻击者使用Plink为TCP端口3389确立SSH隧道,这解释攻击者使用隧道使用远程桌面协议(RDP)接见系统。研究职员还考察到攻击者在为TCP端口80确立到内部服务器的SSH隧道,这解释攻击者使用隧道来接见内部IIS Web服务器。研究职员信托攻击者可以接见这些其他内部IIS Web服务器,以行使内部Web应用程序中的文件上传功效来安装BumbleBee,作为横向移动的一种方式。

BumbleBee Webshell

介入xHunt流动的攻击组织入侵了科威特组织的Exchange服务器,并安装了一个研究职员称为BumbleBee的WebShell。研究职员将Webshell称为BumbleBee(大黄蜂),是由于Webshell的配色方案包罗白色、玄色和黄色,如图1所示,BumbleBee异常简朴。它允许攻击者执行下令,以及向服务器上传文件和从服务器上传文件。 BumbleBee有趣的部门是,它要求攻击者提供一个密码来查看Webshell,并提供第二个密码才气与Webshell交互。

xHunt 攻击者使用的BumbleBee Webshell在Microsoft Exchange Server上运行下令

,

usdt支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

要查看BumbleBee Webshell,攻击者必须在名为parameter的URL参数中提供密码。否则,用于与BumbleBee举行交互的表单将不会显示在浏览器中。为了检查提供的密码以举行身份验证,Webshell程序将天生参数值的MD5哈希值,并使用硬编码的MD5哈希值举行检查,在受熏染的Exchange服务器上托管的BumbleBee示例中,研究职员发现该密码的MD5哈希值为1B2F81BD2D39E60F1E1AD05DD3BF9F56字符串fkeYMvKUQlA5asR。一旦显示,BumbleBee将为攻击者提供三个主要功效:

1.通过cmd / c执行下令;

2.将文件上传到服务器的指定文件夹(默以为c:\windows\temp);

3.从服务器下载文件;

要执行这些功效中的任何一个,攻击者必须提供第二个密码(在图1中带有“password”标签的字段中)。 BumbleBee Webshell将天生密码的MD5哈希值,并在执行功效之前使用硬编码的MD5哈希值对其举行检查。在执行攻击者所需的操作之前检查的MD5哈希值为36252C6C2F616C5664A54058F33EF463,但很遗憾,研究职员无法确定此密码的字符串形式。只管研究职员不知道使用BumbleBee功效所需的密码,然则研究职员能够通过剖析来自受熏染的Exchange服务器的日志来确定通过webshell执行的下令,后面部门中将详细讨论。

在举行剖析时,研究职员发现了另一个BumbleBee Webshell,其中包罗差其余MD5哈希值以查看Webshell和执行下令,划分是A2B4D934D394B54672EA10CA8A65C198和28D968F26028D956E6F1199092A1C408。虽然可以确定A2B4D934D394B54672EA10CA8A65C198的哈希值是密码TshuYoOARg3fndI,但研究职员无法确定第二个哈希值的字符串。该Webshell托管在统一科威特组织的内部IIS Web服务器上,该原始Web站点在受熏染的Exchange服务器上找到了原始BumbleBee。研究职员还发现该特定的BumbleBee示例驻留在科威特其他两个组织的内部IIS Web服务器上。研究职员能够从两个科威特组织之一的内部IIS Web服务器网络终端日志,以确定通过BumbleBee执行的下令。

与受攻击的Microsoft Exchange Server的交互

为了确定攻击者与科威特组织的受熏染Exchange服务器有关的流动,研究职员从Exchange服务器网络了IIS服务器日志以及Cortex XDR为系统天生的日志。在IIS日志中,研究职员能够考察到当攻击者通过受熏染的Exchange服务器上安装的BumbleBee WebShell宣布下令时天生的HTTP POST请求。使用IIS日志,研究职员还可以考察到攻击者通过Outlook Web App登录到受熏染的电子邮件帐户,并在登录后执行特定的流动,例如查看电子邮件和在受熏染的网络上搜索其他电子邮件帐户。

不幸的是,受熏染的Exchange服务器无纲纪录POST请求中的数据,因此只管研究职员知道从这些日志中发出了若干下令,但研究职员不知道攻击者执行的现实下令。另外,从2020年1月31日到2020年9月16日,研究职员只能网络34天的日志,其中不包罗来自受熏染Exchange服务器的所有IIS日志。由于没有日志纪录,研究职员无法完整领会流动情形,甚至无法领会攻击者与受熏染的Exchange服务器举行交互的最先情形。例如,IIS日志显示了2020年2月1日的第一个BumbleBee Webshell流动,但它们还显示了TriFive后门程序从2020年1月31日上午最先每五分钟登录一个受熏染的电子邮件帐户。 TriFive信标每五分钟显示一次,它是通过研究职员先前与该事宜有关的后门博客中讨论的设计义务重复运行的,这还解释该攻击者已经可以在研究职员网络的日志显示之前连续接见受熏染的Exchange服务器。

使用研究职员能够从受熏染的Exchange服务器网络的IIS日志,研究职员可以汇总攻击者流动的时间表,包罗与BumbleBee Webshell的交互。 2020年2月1日至7月27日,攻击者使用受熏染的凭证通过Outlook Web App登录到Exchange服务器。攻击者使用Outlook Web App中的搜索功效来搜索电子邮件地址,包罗搜索受熏染科威特组织的域名以获取电子邮件地址的完整列表以及特定的要害字(例如服务台)。研究职员还看到攻击者在受熏染帐户的收件箱中查看电子邮件,稀奇是来自服务提供商和手艺供应商的电子邮件。此外,攻击者还查看了来自Symantec产物和Fortinet的FortiWeb产物的警报电子邮件。搜索发往服务台的电子邮件并查看平安警报电子邮件的行为解释,攻击攻击者有兴趣确定科威特组织是否已意识到恶意流动的存在。

本文翻译自:https://unit42.paloaltonetworks.com/bumblebee-webshell-xhunt-campaign/
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-06-28 00:02:28

    0571杭州新闻杭州新闻是杭州本土的一家全方位新闻资讯网站。真实用心地记录余杭的社会经济、政治、生活环境的发展与变迁,用心捕捉杭州人的身边事,最快地汇集整合杭州新闻资讯,真诚地为本地居民提供互联网平台上优质的信息服务。以最亲切的视角、最快的速度,共同打造浙江省、环杭州湾大湾区、长江三角洲经济带广受欢迎和认可的新闻讯息平台。踩一下,溜了

随机文章
热门文章
热评文章
热门标签