日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

據(jù)BleepingComputer網(wǎng)站6月15日消息，一個(gè)被稱(chēng)為“Blue Mockingbird”的攻擊者針對(duì) Telerik UI 漏洞來(lái)破壞服務(wù)器，安裝 Cobalt Strike 信標(biāo)，并通過(guò)劫持系統(tǒng)資源來(lái)挖掘 Monero。

攻擊者利用的漏洞是 CVE-2019-18935，這是一個(gè)嚴(yán)重的反序列化漏洞，CVSS v3.1評(píng)分高達(dá) 9.8，可導(dǎo)致在 Telerik UI 庫(kù)中遠(yuǎn)程執(zhí)行 ASP.NET AJAX 的代碼。

在2020年5月，Blue Mockingbird就曾使用同樣的手法攻擊Microsoft IIS 服務(wù)器，而此時(shí)距供應(yīng)商提供安全更新已經(jīng)過(guò)去了一年 ，可見(jiàn)該漏洞已被該攻擊者反復(fù)利用，屢試不爽。

要利用 CVE-2019-18935漏洞，攻擊者必須獲得保護(hù)目標(biāo)上Telerik UI序列化的加密密鑰，這可通過(guò)利用目標(biāo) Web 應(yīng)用程序中的另一個(gè)漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 來(lái)實(shí)現(xiàn)。一旦獲得密鑰，攻擊者就可以編譯一個(gè)惡意 DLL，其中包含要在反序列化期間執(zhí)行的代碼，并在“w3wp.exe”進(jìn)程的上下文中運(yùn)行。

Blue Mockingbird 最近的攻擊鏈

在由網(wǎng)絡(luò)安全公司Sophos最近發(fā)現(xiàn)的這起攻擊事件中，Blue Mockingbird采用了一個(gè)現(xiàn)成的概念驗(yàn)證（PoC）漏洞，能夠處理加密邏輯并自動(dòng)進(jìn)行DLL編譯，其使用的有效載荷是 Cobalt Strike 信標(biāo)，這是一種隱蔽的、合法的滲透測(cè)試工具， Blue Mockingbird 以此濫用來(lái)執(zhí)行編碼的 PowerShell 命令。

Cobalt Strike 信標(biāo)配置

為了實(shí)現(xiàn)持久性，攻擊者通過(guò) Active Directory 組策略對(duì)象 (GPO) 建立，它創(chuàng)建計(jì)劃任務(wù)，該計(jì)劃任務(wù)寫(xiě)入包含 base64 編碼的 PowerShell 的新注冊(cè)表項(xiàng)中。

該腳本使用常見(jiàn)的 AMSI 繞過(guò)技術(shù)來(lái)規(guī)避 Windows Defender 檢測(cè)，以將 Cobalt Strike DLL 下載并加載到內(nèi)存中。

第二階段的可執(zhí)行文件（'crby26td.exe'）是一個(gè) XMRig Miner，一個(gè)標(biāo)準(zhǔn)的開(kāi)源加密貨幣礦工，用于挖掘 Monero，這是最難追蹤的加密貨幣之一。

Cobalt Strike 的部署為在受感染的網(wǎng)絡(luò)內(nèi)輕松橫向移動(dòng)、進(jìn)行數(shù)據(jù)泄露、帳戶接管以及部署更強(qiáng)大的有效負(fù)載（如勒索軟件）開(kāi)辟了道路。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/

網(wǎng)站標(biāo)題：攻擊者利用三年前的Telerik漏洞部署CobaltStrike
轉(zhuǎn)載來(lái)于：http://www.dlmjj.cn/article/djigjic.html