در 30 سپتامبر 2023 مهاجمین با سو استفاده از آسیبپذیری های موجود در WS_FTP بر روی سرورهای ویندوزی توانستند دسترسی اولیه بگیرند. در این حمله قربانی از نسخه آسیبپذیر WS_FTP بر روی سرورهای خود استفاده می کرد، که منجر به کشف دو آسیبپذیری با شناسه : CVE-2023-40044 و CVE-2023-42657 و CVSS: 10 شده است.
حداقل سه نوع از حملات چندمرحلهای مشاهده شده است، بهنحویکه ابتدا با Exploit کردن آسیبپذیری شروع و سپس با استفاده از دستورات اجرا شده Payload از سرور خارجی مهاجم دانلود میشود. نکته قابلاشاره در این حمله استفاده از یک URL با IP ثابت بوده است. این اتفاق موج سوم حملات علیه یک محصول نرمافزار Progress را در سال 2023 نشان میدهد که سازمانهای ارائهدهنده خدمات مدیریت شده فناوری اطلاعات (IT MSP)، نرمافزار و فناوری، خدمات حقوقی، مهندسی و بخشهای ساختوساز، نفت و گاز طبیعی (ONG)، بهداشت و درمان و بخشهای غیرانتفاعی تحتتأثیر قرار گرفتهاند. چندین زنجیره حمله وجود دارد که به دنبال بهرهبرداری از آسیبپذیری WS_FTP میباشد.
مرحله 1: استفاده از PowerShell رمزگذاری شده و Certutil برای ارسال Metasploit
آسیبپذیری WS_FTP یک دستور فراخوانی میکند که: ابتدا بررسی میکند که معماری سیستم 32 یا 64 بیتی است؛ این اطلاعات را از طریق اجرای PowerShell از مسیر صحیح استفاده میکند. از رشتههای مبهم استفاده میکند که برای اجرای اسکریپت، لاگ PowerShell را غیرفعال میکنند. سپس رشتهای که با استفاده از الگوریتم Base64 رمزگشایی و با استفاده از الگوریتم فشردهسازی Gzip فشرده شده است را رمزگشایی، استخراج و اجرا میکند و مقادیر رمزگشایی شده را به عنوان یک فرآیند جدید راهاندازی میکند. این کد از چندین تابع و با زبان C# نوشته شده است.
مرحله 2: Curl و کامپایل از طریق cl.exe
در این مرحله برای دانلود Payload از Curl که با cl.exe اجرا میشود، استفاده شده است.
مرحله 3:اضافه کردن کاربر به اکتیو دایرکتوری
این مرحله حمله از بسیاری از فایلهای اجرایی مختلف ویندوز در مسیر ProgramData سرور استفاده میکرد. در این قسمت از هیچ اسکریپتی استفاده نمیکند و برخی از دستوراتی که در زیر آورده شدهاند با نامهای کوتاه مثل یک حرف و اغلب یک عدد، مانند n1.exe، n2.exe، s.exe و غیره فراخوانی میشوند.
باینری xmpp.exe توسط SimpleHelp که یک شرکت تولید نرمافزار مدیریت از راه دور تولید است، Sign شده است. باینری xmpp.exe هر بار قبل از اجرای دستور بعدی اجرا میشود. احتمالاً بهرهبردار از xmpp.exe بهعنوان یک ابزار دسترسی از راه دور استفاده میکند.
مهاجم تلاش می کند تا کاربری با نام temp و رمز عبور p@ssw0rd123 در اکتیو دایرکتوری اضافه و آن را به گروه Administratior اضافه کند که در صورت موفقیت، افزایش سطح دسترسی را فراهم خواهد کرد. این مورد پس چندین تلاش برای اضافهکردن یک کاربر با سطح دسترسی Administrator ناموفق بوده و به نظر میرسد که ایجاد معمولی کاربر موفقیتآمیز بوده است.
راه هایی برای کاهش این خطر پذیری
- بروز نگهداشتن سرورهای WS_FTP
- کانفیگ درست AAA در اکتیو دایرکتوری
- نظارت بر ترافیک شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- نظارت بر پروسسهای مشکوک اجرا شده
- مشاهده ترافیک غیرعادی شبکه
- نظارت بر فریمورکهای امنیتی مانند Metasploit
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Defense Evasion | Credential Access | Discovery | Collection | Command And Control | Exfiltration |
| Access Token Manipulation | Account Manipulation | Account Discovery | Audio Capture | Commonly Used Port | Automated Exfiltration |
| Binary Padding | Bash History | Application Window Discovery | Automated Collection | Communication Through Removable Media | Data Compressed |
| BITS Jobs | Brute Force | Browser Bookmark Discovery | Clipboard Data | Connection Proxy | Data Encrypted |
| Bypass User Account Control | Credential Dumping | Domain Trust Discovery | Data from Information Repositories | Custom Command and Control Protocol | Data Transfer Size Limits |
| Clear Command History | Credentials from Web Browsers | File and Directory Discovery | Data from Local System | Custom Cryptographic Protocol | Exfiltration Over Alternative Protocol |
| CMSTP | Credentials in Files | Network Service Scanning | Data from Network Shared Drive | Data Encoding | Exfiltration Over Command and Control Channel |
| Code Signing | Credentials in Registry | Network Share Discovery | Data from Removable Media | Data Obfuscation | Exfiltration Over Other Network Medium |
| Compile After Delivery | Exploitation for Credential Access | Network Sniffing | Data Staged | Domain Fronting | Exfiltration Over Physical Medium |
| Compiled HTML File | Forced Authentication | Password Policy Discovery | Email Collection | Domain Generation Algorithms | Scheduled Transfer |
| Component Firmware | Hooking | Peripheral Device Discovery | Input Capture | Fallback Channels | |
| Component Object Model Hijacking | Input Capture | Permission Groups Discovery | Man in the Browser | Multi-hop Proxy | |
| Connection Proxy | Input Prompt | Process Discovery | Screen Capture | Multi-Stage Channels | |
| Control Panel Items | Kerberoasting | Query Registry | Video Capture | Multiband Communication | |
| DCShadow | Keychain | Remote System Discovery | Multilayer Encryption | ||
| Deobfuscate/Decode Files or Information | LLMNR/NBT-NS Poisoning and Relay | Security Software Discovery | Port Knocking | ||
| Disabling Security Tools | Network Sniffing | Software Discovery | Remote Access Tools | ||
| DLL Search Order Hijacking | Password Filter DLL | System Information Discovery | Remote File Copy | ||
| DLL Side-Loading | Private Keys | System Network Configuration Discovery | Standard Application Layer Protocol | ||
| Execution Guardrails | Securityd Memory | System Network Connections Discovery | Standard Cryptographic Protocol | ||
| Exploitation for Defense Evasion | Steal Web Session Cookie | System Owner/User Discovery | Standard Non-Application Layer Protocol | ||
| Extra Window Memory Injection | Two-Factor Authentication Interception | System Service Discovery | Uncommonly Used Port | ||
| File and Directory Permissions Modification | System Time Discovery | Web Service | |||
| File Deletion | Virtualization/Sandbox Evasion | ||||
| File System Logical Offsets | |||||
| Gatekeeper Bypass | |||||
| Group Policy Modification | |||||
| Hidden Files and Directories | |||||
| Hidden Users | |||||
| Hidden Window | |||||
| HISTCONTROL | |||||
| Image File Execution Options Injection | |||||
| Indicator Blocking | |||||
| Indicator Removal from Tools | |||||
| Indicator Removal on Host | |||||
| Indirect Command Execution | |||||
| Install Root Certificate | |||||
| InstallUtil | |||||
| Launchctl | |||||
| LC_MAIN Hijacking | |||||
| Masquerading | |||||
| Modify Registry | |||||
| Mshta | |||||
| Network Share Connection Removal | |||||
| NTFS File Attributes | |||||
| Obfuscated Files or Information | |||||
| Parent PID Spoofing | |||||
| Plist Modification | |||||
| Port Knocking | |||||
| Process Doppelgänging | |||||
| Process Hollowing | |||||
| Process Injection | |||||
| Redundant Access | |||||
| Regsvcs/Regasm | |||||
| Regsvr32 | |||||
| Rootkit | |||||
| Rundll32 | |||||
| Scripting | |||||
| Signed Binary Proxy Execution | |||||
| Signed Script Proxy Execution | |||||
| SIP and Trust Provider Hijacking | |||||
| Software Packing | |||||
| Space after Filename | |||||
| Template Injection | |||||
| Timestomp | |||||
| Trusted Developer Utilities | |||||
| Valid Accounts | |||||
| Virtualization/Sandbox Evasion | |||||
| Web Service | |||||
| XSL Script Processing |