针对 HFS 服务器攻击案例 (CVE-2024-23692)
报告原文:https://asec.ahnlab.com/ko/67509/HFS (HTTP 文件服务器) 是一个提供简单形式的 Web 服务的程序,由于 Web 服务只需可执行文件即可提供,无需自己搭建 Web 服务器,因此常用于文件共享目的,用户也可以通过浏览器访问地址轻松下载文件。
使用 HFS 时,它向不特定数量的用户开放,以便用户可以访问 HFS Web 服务器并下载文件,因此如果 HFS 存在漏洞,则可能成为外部攻击的目标。2024 年 5 月,HFS 远程代码执行漏洞 CVE-2024-23692 被披露,如果利用该漏洞,攻击者可以向 HFS 发送包含命令的数据包,导致 HFS 执行恶意命令。该漏洞还包括许多用户正在使用的 HFS 2.3m 版本,尽管它不是最新版本。
一、CVE-2024-23692 漏洞
漏洞曝光后不久,也发布了 PoC,利用该 PoC,可以将包含命令的数据包远程发送到 HFS 服务器,如下所示,攻击者在扫描对外开放的 HFS 服务后,可以利用 CVE-2024-23692 漏洞安装恶意代码或劫持控制。
AhnLab 安全情报中心 (ASEC) 正在监控此漏洞的攻击,该攻击自漏洞公开以来已得到证实,推测是通过 HFS 2.3m 利用 CVE-2024-23692 漏洞进行的攻击,该版本用户较多,属于易受攻击的版本。
初始渗透后,攻击者通过 whoami 或 arp 等命令收集系统信息,随后添加后门账户和隐藏账户,用于安装恶意软件或通过远程桌面访问。在此过程之后,很多情况下 HFS 都会被终止,从而无法再被其他攻击者利用。
cmd /c "whoami"
arp -a
net user admin12 xiao9[제거]02.. /add
net user admin XIAOh[제거]22.. /add
net user tools Ad[제거]yq1 /add
net localgroup administrators tools /add
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v ad[제거] /t REG_DWORD /d 0
taskkill /f /im hfs.exe
二、CoinMiner
最常用的恶意软件是 XMRig,挖门罗币虚拟货币,至少有 4 名攻击者正在攻击 HFS 以安装 CoinMiner。在这 4 名攻击者中,LemonDuck 是一位知名的攻击者。
LemonDuck 于 2019 年首次被发现,一直在利用各种漏洞来攻击管理不当的系统。最后安装的是 XMRig,但它的特点是 XenoRAT 和漏洞扫描器脚本安装在一起。
三、Backdoor
除了挖矿软件之外,还发现了许多 RAT 和后门类型的恶意软件。除了上面介绍的 XenoRAT 之外,攻击者经常使用的 RAT 恶意软件还包括 Gh0stRAT 和 PlugX,以及 CobaltStrike 和 Netcat。
在攻击中使用的恶意软件中,PlugX 是 BackDoor.PlugX.38 的变种,与过去的文章 “通过漏洞攻击分发的 PlugX 恶意软件” 中提到的类型相同。支持的命令最高为 “0xA”,支持的插件 “Disk”、”Nethood”、”Netstat”、”Option”、”PortMap”、”Process”、”RegEdit” 和 “Service”、”Shell”、”SQL”、”Telnet”、”KeyLog”、”Screen”、”ClipLog” 和 “RDP” 被排除。
四、GoThief
此外,还存在各种恶意软件的攻击案例,其中代表性的例子是 GoThief,它利用亚马逊的 AWS 窃取受感染系统的信息。它是用 Go 语言创建的,根据用于创建恶意软件的源代码路径 “E:/Thief/GoThief-main/main.go”,这里将其归类为 GoThief。
截屏后,GoThief 使用 Amazon S3 服务 (存储桶名称:imgdev) 传输截取的图像,并收集桌面上的文件信息、上传的屏幕截图、IP 地址等信息发送至另一台 C&C 服务器。
五、结论
近日,提供 Web 服务的 HFS 程序中的远程代码执行漏洞 CVE-2024-23692 被披露,随后针对 HFS 漏洞版本的攻击案例不断被证实。使用 HFS 时,它向不特定数量的用户开放,以便用户可以访问 HFS Web 服务器并下载文件,因此如果 HFS 存在漏洞,则可能成为外部攻击的目标。
如果你使用的是 HFS,请检查是否为漏洞版本,并修补至最新版本,以防止已知漏洞的攻击。另外,你应该小心,通过将 V3 更新到最新版本来提前防止恶意软件感染。
六、IoCs
MD5
[*]ce7dc5df5568a79affa540aa86b24773 : Gh0st RAT (2345.exe)
[*]8f0071027d513867feb3eb8943ccaf05 : Gh0st RAT (systeminfo.exe)
[*]77970a04551636cc409e90d39bbea931 : PlugX Loader (Roboform.dll)
[*]6adaeb6543955559c05a9de8f92d1e1d : PlugX (Encoded) (WindowsWatcher.key)
[*]4383b1ea54a59d27e5e6b3122b3dadb2 : GoThief (conost.exe)
C&C
[*]154.201.87[.]185:999 : Gh0st RAT
[*]164.155.205[.]99:999 : Gh0st RAT
[*]support.firewallsupportservers[.]com:80 / 443 / 53 / 8080 : PlugX
[*]hxxp://188.116.22[.]65:5000/submit : GoTheif
下载地址
[*]hxxp://121.204.249[.]123/2345.exe : Gh0st RAT
[*]hxxp://121.204.249[.]123:8077/systeminfo.exe : Gh0st RAT
[*]hxxp://185.173.93[.]167:13306/Roboform.dll : PlugX Loader
[*]hxxp://185.173.93[.]167:13306/WindowsWatcher.key : PlugX (Encoded)
学习了,准备护网。开始研究和使用 wcxgo 发表于 2024-7-5 21:53
学习了,准备护网。开始研究和使用
可以 {:1_453:}
页:
[1]