Zerologon 漏洞攻击公司的域控制器
最近,一个名为Zerologon的严重漏洞–CVE-2020-1472–已成为全球范围内的趋势主题。
此漏洞将使您在内部网络中立足的恶意代理实质上只需单击一下即可成为Domain Admin。从攻击者的角度来看,与域控制器进行通信时,这种情况是可能的。
尽管与内部网络和域控制器的通信只能在Intranet上进行,但是许多网络的策略薄弱且基于网络隔离和分段的体系结构很差,例如,这允许位于DMZ的Web服务器也可以与内部网络资产和域控制器进行内部通信。详细地讲,网络分段涉及将网络划分为较小的网络。而网络隔离涉及制定和执行规则集来控制特定的主机和服务之间的通信。
为了利用这些潜在的漏洞,外部代理滥用了File-Manager插件中的漏洞–CVE-2020-25213,该漏洞允许在服务器端执行任意代码(RCE漏洞)。下面的图1强调了这里说明的问题。
图1:从黑盒开发到域控制器哈希的NTFS流程图,其通过CVE-2020-25213和CVE-2020-1472转储。
根据WordFence的数据,到2020年9月4日,记录到超过170万个站点受到攻击,而到2020年9月10日,受攻击的站点总数已超过260万。同时,影响WP-Manager WordPress插件的CVE-2020-25213仍被犯罪分子利用。
据安全研究人员称:“我已经为项目作者发送了易受攻击的插件的文章和POC,但没有得到任何回应,我的私人帖子也被删除了。elFinder.py 问题是互联网上存在许多脚本的常见漏洞,我的脚本仅更改为“wp-content”路径。
图2:PoC – CVE-2020-25213。
使用漏洞利用后,可以在执行易受攻击的WordPress网站的服务器上执行Web Shell。下面的请求演示了如何执行此攻击。
从Web服务器(/ etc / passwd 文件)中提取的数据和远程Shell可以用来利用这种情况。
图3:通过CVE-2020-25213对/ etc / passwd文件的渗透。
从这里开始,建立远程高特权外壳可能很容易。几个威胁小组滥用了此漏洞,以便在内部网络上建立最初的立足点并进行横向移动。
犯罪分子如何滥用此漏洞
从最后几天开始,SI-LAB观察到罪犯在更多样化的情况下滥用了此漏洞,即:
- 要传播网络钓鱼活动,请在野外传播恶意软件;
- 植入后门以窃取数据,信用卡信息或敏感信息(PII);
- 在特定页面(例如,index.php)内的源代码中添加cryptominers(java脚本);和
- 升级内部网络并滥用Zerologon漏洞攻击域控制器。
在分析某些受到威胁的系统时,SI-LAB收集了以下描述和说明的一些恶意植入物。
图4:在多个受损的WordPress网站上发现的Cryptominer脚本。
详细地, 安装并分析了所有WordPress模板的每个 header.php文件(图5),添加了图4中所示的cryptominer。请注意,整个恶意链都是由威胁作者自动完成的:“ 2020年9月10日,受攻击的站点总数已增加到260万以上,WordFence说。
*图5: 加密了cryptominer脚本的WordPress header.php文件。*
在其他系统中,发现了其他类型的脚本,即webshell和SMTP发件人,以利用社交工程活动(图6)。
图6:罪犯使用SMTP发件人利用社会工程活动。
还观察到了Autopwn脚本-这证实了骗子已使勘探过程实现了自动化。
图7:骗子用来探索CVE-2020-25213漏洞的Autopwn脚本。*
其他有趣的植入方法(也由WordFence记录)涉及到受感染系统中添加的一段代码,当在WordPress面板中进行用户身份验证时,该代码实质上将用户的凭据发送到由罪犯管理的Telegram通道。
*图8: 将敏感信息发送到Telegram香奈儿的代码片段。*
在分析的网站上(葡萄牙)可能确定的威胁作者与WordFence确定的威胁有关。
根据WordFence的说法,“如果您的网站已被“ bajatax”威胁因素破坏,那么至关重要的是,在与所有用户联系之前,先彻底清理网站,并告知他们其凭据可能已经受到损害,尤其是在运行时一个电子商务网站。
在其他更具体的情况下,也注意到一些威胁行为者使用此漏洞来利用Zerologon漏洞。在最初的立足点之后,并且当存在较差的网络分段时,可能会基于枢轴攻击在网络上进行横向移动。
以受损的机器为中心,利用Doman Controller是真实的,并且组织可能会遭受这种情况的巨大损失。破坏域控制器就像破坏计算机网络一样。
此外,还可以从域控制器中窃取NTLM哈希值(包括域管理员哈希值),并通过传递哈希攻击访问在该域中注册的所有计算机。python3cve-2020-1472-exploit.py DOMAIN_NAME 192.168 .x.x执行身份验证尝试…============================================ ================================================== ================================================== ================================================== ==========================================目标易受攻击者,将帐户密码更改为空stringResult:0漏洞利用完成!
图9:域控制器NTLM通过CVE-2020-1472哈希散列。
Zerologon一直是最近几天的热门话题,因此,其他媒介也很少受到关注。由于可以在整个分析过程中进行分析,犯罪分子利用了网络漏洞,在这种情况下,与WordPress WP-Manager插件关联的CVE-2020-25213在内部网络中获得了特权外壳。
已经通过横向移动进行了网络侦察,使用Zerologon识别并探索了域控制器。此漏洞很严重,并且基于加密漏洞,可以将帐户计算机密码更改为空。
*图10: Zerologon漏洞(https://www.cynet.com/zerologon/)。*
最后,然后可以远程提取域控制器NTML哈希。请注意,必须快速恢复机器密码,否则DC将不会同步,这可能会中断网络。
Cynet还发布了一些关键工件的详细信息,这些工件可用于检测对漏洞的主动利用,包括lsass.exe内存中的特定内存模式以及lsass.exe之间的流量异常高峰。
图11:** Zerologon检测(https://www.cynet.com/zerologon/)。
“记录最完整的工件是Windows事件ID 4742’计算机帐户已更改’,通常与Windows事件ID 4672’分配给新登录的特殊特权’结合在一起。”
为了让Windows Server用户快速检测到相关攻击,专家还发布了YARA规则,该规则可以检测在部署之前发生的攻击,而对于实时监视,还可以下载一个简单的工具。
但是,要完全解决此问题,用户仍然建议尽快安装Microsoft的最新软件更新。
Pedro Tavares是信息安全领域的专家,曾担任道德黑客,恶意软件分析师,网络安全分析师以及安全宣传员。他还是CSIRT.UBI的创始成员,也是安全计算机博客seguranca-informatica.pt的总编辑。
