Desktop Central服務(wù)器RCE漏洞在野攻擊分析

0x01 漏洞披露

在研究Desktop Central漏洞的过程中，我们在推特上找到了一位研究人员的帖子，该研究人员于2020年3月5日披露了DesktopCentral的RCE漏洞。

Zoho ManageEngine Desktop Central10允许远程执行代码，漏洞成因是FileStorage类的getChartImage中的不可信数据反序列化，此漏洞和CewolfServlet，MDMLogUploaderServletServlet有关。

对CVE-2020-10189的研究还显示，可以在Shodan上搜索易受攻击的Desktop Central服务器。

图2-在Shodan上可搜索的易受攻击的Desktop Central服务器

在公网发现的威胁是有可疑的PowerShell下载通讯录，该通讯录包含下载文件的说明。

最早威胁活动之一是一些可疑的PowerShell下载命令。该命令包含指令，以下载install.bat并storesyncsvc.dll到C:\Windows\Temp，然后立即执行install.bat（图3）。

图3-可疑的PowerShell下载命令

该install.bat脚本包含storesyncsvc.dll作为服务安装在系统上的说明。（图4）。

图4-Install.bat的内容

在运行PowerShell命令后，我们观察到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service（图5）的新服务。

图5-安装Storage Sync Service

VirusTotal上的查询结果表明，一些检测引擎已经归类storesyncsvc.dll为恶意软件。

https://www.virustotal.com/gui/file/f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c/details

0x02 利用过程跟踪识别漏洞利用

此RCE漏洞已于2020年3月5日通过Twitter公开。

回顾Sysmon流程创建事件，表明C:\ManageEngine\DesktopCentral_Server\jre\bin\java.exe流程是负责执行PowerShellDownload命令的流程（图6）。

图6-ParentImage负责PowerShell的下载

查看内存中的进程，我们还观察到Desktop Central java.exe应用程序cmd.exe和2.exe之间的父/子进程关系（图7）。

图7- java.exe父/子进程关系

0x03 利用文件系统识别漏洞利用

为了进一步验证我们的理论，我们将从受影响的DesktopCentral服务器收集的信息与已发布的POC进行了比较，确定攻击者可能利用了CVE-2020-10189漏洞在此易受攻击的系统上运行代码。

通过文件系统时间轴分析，我们确定遍历文件写可能已在具有文件名_chart（图8）和logger.zip（图9）的系统上发生 。

图8- _chart文件系统分析

图9- logger.zip文件系统分析

这些文件名也在@Steventseeley发布的POC中进行了引用（图10）。

图10-POC中对_chart和logger.zip的引用，参考：https ://srcincite.io/pocs/src-2020-0011.py.txt

0x04 引入系统命令

在随后的流程创建日志中，cmd.exe使用certutil.exe命令来下载和执行2.exe（图11），进一步的分析表明，很有可能2.exe可能是C2工具Cobalt Strike的一部分。

图11-Certutil命令

OSINT透露2.exe已被VirusTotal上的多个检测引擎识别为恶意软件：https：//www.virustotal.com/gui/file/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/details

利用app.any.run沙箱（图12）和对恶意软件的内存分析，进一步证实2.exe托管Cobalt Strike Beacon payload的可能性。

图12- 2.exe被判定为恶意软件

https://any.run/report/d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309/e65dd4ff-60c6-49a4-8e6d-94c6c80a74b6

我们对已知恶意软件2.exe所使用的所有内存段进行了yara扫描，yara扫描结果进一步支持了2.exe在其他几种可能的恶意软件签名的理论（图13）。

图13-Yarascan扫描结果

利用Volatility的恶意插件，我们确定了几个可能存在代码注入迹象的内存部分，我们对另一个由malfind转储的内存段进行了yara扫描，进一步证实了我们的猜想。

在下面的记录中可以看到整个过程（图14）。

（原文中查看完整过程）

图14-Yarascan验证结果

然后，我们检查了malfind的输出以获得代码注入的证据，并确定了其中的可疑内存部分svchost.exe（图15）。OSINT的研究使我们找到了一位研究人员，该研究人员对恶意软件进行了逆向，并找到了负责向其中注入代码的部分svchost.exe（图16）。

图15-对包含注入代码的svchost的分析

图16-@VK_Intel的分析显示了可能的注入功能

参考：

在攻击结束后，我们观察到了恶意的Bitsadmin命令，其中包含install.bat从66.42.96.220可疑端口12345进行转移的指令。

我们的分析师观察到，bitsadmin命令正在DesktopCentral服务器上运行，该命令包含在PowerShell下载命令中调用的相同IP地址，端口和相同的install.bat文件（图17）。

图17-Bitsadmin命令

0x05 访问凭证

我们还观察到了潜在的凭证访问活动。攻击者执行凭据转储的常用技术是使用恶意进程（SourceImage）访问另一个进程（TargetImage），最常见的是将lsass.exe作为目标，因为它通常包含敏感信息，例如帐户凭据。

在这里，我们观察到SourceImage 2.exe访问TargetImage lsass.exe（图18）。Cobalt StrikeBeacon包含类似于Mimikatz的本机凭证转储功能，使用此功能的唯一必要条件是攻击者具有的SYSTEM特权，以下事件提供了充分的证据证明凭证访问的风险很高。

图18- 2.exe访问lsass.exe

在对这种入侵进行分析的过程中，我们向Eric Zimmerman的KAPE工具添加了一些收集目标功能，以将相关日志添加到分类工作中。

工具地址：https://binaryforay.blogspot.com/2019/02/introducing-kape.html

针对相关日志的用法示例：

 kape.exe --tsource C: --tdest c:\temp\tout --tflush --target ManageEngineLogs

Sigma项目的Florian Roth创建了一个签名来检测攻击者利用的某些技术：

https://github.com/Neo23x0/sigma/blob/master/rules/windows/process_creation/win_exploit_cve_2020_10189.yml

我们对该攻击的分析还发现，在进程创建日志中基于命令行活动进行检测将很有价值：

 ParentImage | endswith:   'DesktopCentral_Server\jre\bin\java.exe' CommandLine | contains:   '*powershell*'  '*certutil*'  '*bitsadmin*'

0x06 IOCs

·Storesyncsvc.dll

· MD5: 5909983db4d9023e4098e56361c96a6f

·SHA256:f91f2a7e1944734371562f18b066f193605e07223aab90bd1e8925e23bbeaa1c

·Install.bat

· MD5: 7966c2c546b71e800397a67f942858d0

·SHA256:de9ef08a148305963accb8a64eb22117916aa42ab0eddf60ccb8850468a194fc

·2.exe

· MD5: 3e856162c36b532925c8226b4ed3481c

·SHA256:d854f775ab1071eebadc0eb44d8571c387567c233a71d2e26242cd9a80e67309

·66[.]42[.]98[.]220

·91[.]208[.]184[.]78

·74[.]82[.]201[.]8