Esentir Tehdit Yanıt Birimi (TRU), tehdit aktörlerinin, sistemlere uzaktan erişim elde etmek için ASP.NET AJAX için devam eden Telerik kullanıcı arayüzünde altı yaşındaki bir IIS güvenlik açığını aktif olarak kullandıklarını ortaya koydu.
CVE-2019-18935 olarak tanımlanan bu güvenlik açığı, saldırganların savunmasız sunucular üzerinde keyfi kod yürütmesine izin vererek sistemlerini güncellemeyen kuruluşlar için önemli bir risk oluşturmaktadır.
Bu güvenlik kusuru, tehdit aktörlerinin yazılımın savunmasız sürümlerini çalıştıran sistemlere uzaktan erişim elde etmelerini sağlar.
Tru, bir ters kabuk yüklemek ve CMD.EXE aracılığıyla keşif için sonraki komutları çalıştırmak için w3wp.exe (IIS işçi süreci) kullanan tehdit aktörlerini gözlemledi.
Tru’daki siber güvenlik analistleri, ters kabukların C: \ Windows \ temp dizinine düşürüldüğünü belirtti.
Sömürü süreci
Sömürü süreci, tehdit aktörleri Dosya Yükleme İşleyicisinin kullanılabilir olup olmadığını belirlemek için IIS sunucusuna belirli bir istek gönderdiğinde başlar.
Onaylandıktan sonra, uzak bir kabuğu yüklemek ve yürütmek için özelleştirilmiş bir kavram kanıtı (POC) kullanırlar.
Ters Kabuk, bir komut ve kontrol (C2) sunucusuna bağlanan karışık mod .NET montajıdır. 213.136.75.130 Windows soketleri aracılığıyla.
.webp)
Ters bir kabuk kurduktan sonra, saldırganlar, kullanıcı numaralandırması da dahil olmak üzere sistem bilgilerini toplamak için komutlar yürütür net.exe Ve net1.exe.
Tru ayrıca, amacına şu anda bilinmeyen birkaç toplu dosyayla birlikte, ana bilgisayar üzerinde açık kaynaklı ayrıcalık yükseltme aracı Juicypotatong’un konuşlandırılmasını gözlemledi.
.webp)
Bu tür ters kabukları tespit etmek için bir Yara kuralı kullanılabilir:-
rule TCP_Reverse_Shell_Windows_x64 {
meta:
description = "Detects Windows based 64-bit TCP reverse shell"
author = "YungBinary"
hash = "b971bf43886e3ab1d823477826383dfaee1e2935788226a285c7aebeabee7348"
strings:
$winsock_2_0 = { 66 B? 02 00 FF 15 }
$winsock_2_1 = { 66 B? 02 01 FF 15 }
$winsock_2_2 = { 66 B? 02 02 FF 15 }
$winsock_1_0 = { 66 B? 01 00 FF 15 }
$winsock_1_1 = { 66 B? 01 01 FF 15 }
$socket_params = { 41 B8 06 00 00 00 BA 01 00 00 00 B9 02 00 00 00 }
$cmd = { 48 C7 44 24 ?? 00 00 00 00 48 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? 00 00 00 00 C7 44 24 ?? (01 | 00) 00 00 00 45 33 C9 45 33 C0 48 8D 15 ?? ?? ?? ?? 33 C9 FF 15 }
$wait = { BA FF FF FF FF 48 8B 4C ?? ?? FF 15 }
condition:
uint16(0) == 0x5a4d and
((1 of ($winsock*)) and $socket_params and $cmd and $wait)
}.webp)
Bu tehditleri azaltmak için kuruluşlar sağlam yama yönetimi ve güvenlik açığı yönetimi hizmetleri uygulamalıdır.
Ek olarak, tüm sistemlerde uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması, bu tür saldırıların tespit edilmesine ve yanıt vermeye yardımcı olabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free