加入收藏 | 设为首页 | 会员中心 | 我要投稿 上饶站长网 (https://www.0793zz.com.cn/)- 数据库平台、视觉智能、智能搜索、决策智能、迁移!
当前位置: 首页 > 服务器 > 安全 > 正文

攻击者利用三年前的 Telerik 漏洞布局 Cobalt Strike

发布时间:2022-06-21 17:46:58 所属栏目:安全 来源:互联网
导读:一个被称为Blue Mockingbird的攻击者针对 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。 攻击者利用的漏洞是 CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达 9.8,可导致在 Telerik UI 库中远
  一个被称为“Blue Mockingbird”的攻击者针对 Telerik UI 漏洞来破坏服务器,安装 Cobalt Strike 信标,并通过劫持系统资源来挖掘 Monero。
 
  攻击者利用的漏洞是 CVE-2019-18935,这是一个严重的反序列化漏洞,CVSS v3.1评分高达 9.8,可导致在 Telerik UI 库中远程执行 ASP.NET AJAX 的代码。
 
  要利用 CVE-2019-18935漏洞,攻击者必须获得保护目标上Telerik UI序列化的加密密钥,这可通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 来实现。一旦获得密钥,攻击者就可以编译一个恶意 DLL,其中包含要在反序列化期间执行的代码,并在“w3wp.exe”进程的上下文中运行。
 
  为了实现持久性,攻击者通过 Active Directory 组策略对象 (GPO) 建立,它创建计划任务,该计划任务写入包含 base64 编码的 PowerShell 的新注册表项中。
 
  该脚本使用常见的 AMSI 绕过技术来规避 Windows Defender 检测,以将 Cobalt Strike DLL 下载并加载到内存中。
 
  第二阶段的可执行文件('crby26td.exe')是一个 XMRig Miner,一个标准的开源加密货币矿工,用于挖掘 Monero,这是最难追踪的加密货币之一。
 
  Cobalt Strike 的部署为在受感染的网络内轻松横向移动、进行数据泄露、帐户接管以及部署更强大的有效负载(如勒索软件)开辟了道路。

(编辑:上饶站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读