SentinelOne发现MOVEit文件传输服务器应用程序中的CVE-2023-34362漏洞遭到了野外(ITW)攻击。该攻击投放Microsoft IIS .aspx恶意载荷,使受影响的Web服务器和连接的Azure blob存储之间的交互受到限制。6月5日,Cl0p勒索软件组织声称对这些攻击负责,不过SentinelOne特别指出,针对文件传输应用程序漏洞的攻击与2023年初以牟利为目的的攻击者进行的其他攻击相似。
我们在这篇文章中提供了攻击链的技术细节,以及可用于扫描MOVEit传输漏洞是否可能被利用的狩猎查询和PowerShell脚本。
概述
在2023年5月的最后一周和6月初,SentinelOne观察到运行Progress Software的MOVEit Transfer文件服务器应用程序高危版本的Windows服务器被大肆利用。攻击投放了一个精简的webshell,攻击者可以使用它来泄露文件的内容,包括当受攻击的MOVEit实例被配置为使用Azure的blob存储服务时,托管在Microsoft Azure中的文件。6月5日,Cl0p勒索软件组织声称对这些活动负责。
虽然利用漏洞可能是伺机作案,但SentinelOne观察到下列行业的20多家组织受到了攻击,其中最频繁受到影响的是托管安全服务提供商(MSSP)和托管信息技术服务提供商(MSP):
航空、运输与物流
娱乐
金融服务及保险
医疗保健、制药和生物技术
托管信息技术服务供应商(MSP)
托管安全服务提供商(MSSP)
制造业及建筑材料
机械工程
印刷和数字媒体
技术
公用事业及公共服务
漏洞影响以下版本的MOVEit Transfer:
MOVEit Transfer 2023.0.0:在2023.0.1中已修复
MOVEit Transfer 2022.1.x:在2022.1.5中已修复
MOVEit Transfer 2022.0.x:在2022.0.4中已修复
MOVEit Transfer 2021.1.x:在2021.1.4中已修复
MOVEit Transfer 2021.0.x:在2021.0.6中已修复
技术细节
这些攻击是针对运行MOVEit文件传输应用程序高危版本的Windows服务器进行的,攻击者可以通过端口扫描或Shodan等互联网索引服务来识别高危目标。
Progress Software最近发布了一份安全公告,详细介绍了MOVEit Transfer中的一个漏洞,该漏洞可能会导致特权升级和对目标环境的未经授权访问。该公告将此问题详细描述为SQL注入漏洞(CVE-2023-34362),该漏洞允许未经授权的攻击者注入SQL命令,并从目标数据库获取信息。
攻击链利用该漏洞通过moveitsvc服务帐户将任意文件上传到服务器的\MOVEitTransfer\wwwroot\目录。系统的svchost.exe进程启动w3wp.exe,这是微软Internet信息服务(IIS)worker进程,然后将几个文件写入到Temp中的新工作目录。该工作目录和后续文件共享相同的8字符伪随机命名语法,其中一个示例写入以下文件:
C:\Windows\Temp\royq2cir
C:\Windows\Temp\royq2cir\ royq2cir.tmp
C:\Windows\Temp\royq2cir\ royq2cir.0.cs
C:\Windows\Temp\royq2cir\ royq2cir.dll
C:\Windows\Temp\royq2cir\ royq2cir.cmdline
C:\Windows\Temp\royq2cir\ royq2cir.out
C:\Windows\Temp\royq2cir\ royq2cir.err
w3wp.exe进程启动csc.exe将C#代码编译成恶意载荷,恶意载荷保存为human2.aspx。恶意载荷是一个精简的webshell,用于查询有关数据库配置的信息,使攻击者能够执行以下操作:
连接到指定的SQL数据库,
泄露由MOVEit Transfer托管的文件内容。
当MOVEit Transfer连接到Azure blob存储时,泄漏Azure blob存储服务中特定文件的内容。
为了泄露文件,攻击者可以在向webshell发出请求的HTTP头中指定目标对象的File ID和Folder ID。然后shell在服务器的HTTP响应中以Gzip对象的形式返回指定文件的内容。shell还删除名为“Health Check Service”的现有用户,并使用相同的用户名创建一个新用户,这可能是为了持久潜伏。
截止本文发稿时,SentinelOne尚未观察到部署webshell后的后续活动。
缓解和预防
使用MOVEit Transfer的组织应立即升级受影响的系统。在无法执行升级的情况下,应该使系统脱机,直到可以升级为止。确保你的安全团队可以访问和分析运行MOVEit Transfer的服务器上的应用程序日志,包括Microsoft IIS日志。
由于攻击者是通过与MOVEit Transfer在应用程序层面的交互来利用漏洞的,因此端点检测与响应(EDR)工具的检测机会仅限于后期活动。SentinelOne特别指出,每个恶意载荷在运行时都是动态编译的,因此每个受害者都有一个唯一的哈希值。虽然我们提供了与通过这些活动投放的恶意载荷相关的哈希列表,但组织不应该仅依赖哈希来检测这些攻击。
我们建议运行MOVEit Transfer的组织使用下面提供的资源进行威胁搜索和日志分析。
狩猎查询
SentinelOne提供了以下查询,组织可以用来狩猎与这些攻击相关的活动。虽然这些查询不一定覆盖所有攻击场景,但结果应该已进行调查和分类。此外,防御者应该寻找由MOVEit Transfer服务帐户发起的异常活动:默认值是moveitsvc,不过有些实例可能具有自定义帐户名称。
除了这些查询外,SentinelOne还提供一个脚本来扫描MOVEit Transfer漏洞是否可能被利用的情况(https://github.com/SentineLabs/MOVEit-IIS-Log-Scanner)。
结论
基于SentinelOne观察到的活动,我们认为攻击者的目的是建立访问尽可能多的受害者环境的途径,以便大规模泄露文件。
虽然Cl0p勒索软件组织声称对这些攻击负责,但SentinelOne特别指出,这些技术与这个更广泛的趋势相一致:以牟利为目的攻击运行高危文件传输软件的web服务器。这类活动包括针对Aspera Faspex软件的攻击,攻击者在2023年早些时候投放了IceFire勒索软件,以及Cl0p利用GoAnywhere托管文件传输(MFT)应用程序中的零日漏洞进行的攻击。基于使用零日和N日漏洞的文件传输服务器攻击相对增加,外头可能存在一个针对企业文件传输应用程序的漏洞开发生态系统。
攻击者选择使用MOVEit漏洞来攻击Azure云存储中的文件值得注意,如果该活动仅与Cl0p勒索软件组相关。Bianlian和Karakurt等侧重云的勒索组织使用Rclone和Filezilla等多用途文件管理工具。定制的webshell旨在通过目标环境所特有的SQL查询来窃取Azure文件,这明显不合常规,表明该工具可能在ITW攻击之前已开发和测试得很好。
攻陷指标
与利用高危MOVEit Transfer实例相关的文件包含以下内容。
SHA1
d013e0a503ba6e9d481b9ccdd119525fe0db7652
34d4b835b24a573863ebae30caab60d6070ed9aa
c8e03cb454034d5329d810bbfeb2bd2014dac16d
eee9451901badbfbcf920fcc5089ddc1ee4ec06d
73f19114d61bd09789788782f407f6fe1d6530b9
7d91f5b03932793ff32ad99c5e611f1e5e7fe561
a2f74b02f29f5b1a9fe3efe68c8f48c717be45c2
c756c290729981d3804681e94b73d6f0be179146
11608a031358817324568db9ece1f09e74de4719
b8704c96436ffcbd93f954158fa374df05ddf7f6
参考及来源:https://www.sentinelone.com/blog/moveit-transfer-exploited-to-drop-file-stealing-sql-shell/