日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Cring勒索軟件針對ColdFusion發(fā)起攻擊

最近,Sophos 發(fā)現(xiàn)一個(gè)未知攻擊者利用 11 年前 Adobe ColdFusion 9 的一個(gè)古老漏洞來對 ColdFusion 服務(wù)器進(jìn)行攻擊,部署 Cring 勒索軟件并進(jìn)行橫向平移。

創(chuàng)新互聯(lián)長期為1000+客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為南潯企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì),南潯網(wǎng)站改版等技術(shù)服務(wù)。擁有10多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

已經(jīng)發(fā)現(xiàn)了在野攻擊成功的案例,但部分?jǐn)?shù)據(jù)可以恢復(fù)。

ColdFusion 9 服務(wù)器運(yùn)行的是 Windows Server 2008 操作系統(tǒng),微軟于 2020 年 1 月終止了該操作系統(tǒng)的維護(hù)更新,而 Adobe 早在 2016 年就宣布了 ColdFusion 9 的生命周期終止。因此,該軟件沒有安全補(bǔ)丁可打,這也提醒管理員不能將過時(shí)的關(guān)鍵業(yè)務(wù)暴露給互聯(lián)網(wǎng)。

攻擊者并未因使用的漏洞老舊就馬虎操作,還是使用了相當(dāng)復(fù)雜的技術(shù)來隱藏文件、將代碼注入內(nèi)存,并且刪除了相關(guān)的日志來掩蓋攻擊痕跡。

快速突進(jìn)

通過分析服務(wù)器的日志可知,攻擊者利用分配給烏克蘭 ISP Green Floid 的 IP 地址,在當(dāng)?shù)貢r(shí)間上午 10 點(diǎn)前開始掃描目標(biāo)網(wǎng)站,使用自動(dòng)化工具掃描目標(biāo)網(wǎng)站上的 9000 多個(gè)路徑。

用了 76 秒確定 Web 服務(wù)器部署了 ColdFusion 的安裝文件和特定 URI,如 /admin.cfm、/login.cfm和 /CFIDE/Administrator/。

三分鐘后,攻擊者利用 ColdFusion 中的一個(gè)目錄遍歷漏洞(CVE-2010-2861)發(fā)起攻擊。該漏洞支持遠(yuǎn)程用戶檢索不公開的 Web 目錄文件,攻擊者請求了名為 password.properties的文件。

接著,攻擊者利用了 ColdFusion 中的另一個(gè)漏洞 CVE-2009-3960,該漏洞允許攻擊者濫用 ColdFusion 的 XML 處理協(xié)議來注入數(shù)據(jù)。利用該漏洞,攻擊者通過 HTTP POST 請求將文件上傳到 ColdFusion 服務(wù)器的 /flex2gateway/amf中。

該文件為一個(gè) WebShell,將參數(shù)傳遞給 Windows 的 cmd.exe 執(zhí)行。

攻擊者從 c:\windows\temp\csa.log到 E:\cf9_final\cfusion\wwwroot\CFIDE\cfa.css寫入以 base64 編碼的 WebShell。

隨后,攻擊者通過 WebShell 將 Cobalt Strike Beacon 加載執(zhí)行。

緊接著,攻擊者用亂碼覆蓋了包含 WebShell 的文件,以阻礙調(diào)查分析。

攻擊者

大約在 62 小時(shí)后,攻擊者就又回來了。使用 Beacon 在失陷主機(jī)上上傳文件并執(zhí)行命令,文件被放入 https://image.3001.net/images/20210925/1632547634_614eb332c7f01c3ab118f.png!small同時(shí)傳遞一組十六進(jìn)制編碼參數(shù)來執(zhí)行。

解碼參數(shù)如下所示:

-IsErIK函數(shù)將拉取新的腳本并進(jìn)行持久化。

幾個(gè)小時(shí)后,攻擊者在名為 cfiut.cfm 的 ColdFusion /CFIDE/ 目錄中放置了第二個(gè) WebShell。利用該 WebShell 導(dǎo)出了許多注冊表配置并寫入 .png的文件中,然后存儲(chǔ)到可公開訪問的路徑下。

大約在五個(gè)小時(shí)后,攻擊者調(diào)用 WMIC 從白俄羅斯的 IP 地址下載名為 01.css和 02.css的文件。此外,攻擊者還創(chuàng)建了一個(gè)名為 agent$的帳戶,密碼為 P@ssw0rd,并授予其管理員權(quán)限。

隨后,攻擊者配置域管理員權(quán)限,然后進(jìn)行橫向平移分發(fā) Cobalt Strike Beacon。攻擊者禁用 Windows Defender 和其他安全軟件后,發(fā)現(xiàn)該服務(wù)器部署了虛擬機(jī)管理程序,于是關(guān)閉了虛擬機(jī)。

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Get-VM | % {Stop-VM $_ -TurnOff}

最后,在入侵 ColdFusion 服務(wù)器大約 79 小時(shí)后,攻擊者部署了 Cring 勒索軟件對數(shù)據(jù)文件進(jìn)行加密。攻擊者刪除了卷影副本,清除了事件日志并重啟了安全軟件。

勒索信息會(huì)顯示在 Windows 登錄屏幕上,而不是作為桌面上的文本文件。


分享文章:Cring勒索軟件針對ColdFusion發(fā)起攻擊
URL標(biāo)題:http://www.5511xx.com/article/dpsopji.html