最后更新于2024年7月25日星期四19:47:43 GMT
注意: 虽然Rapid7在发布时并没有明确地将本博客中的攻击者行为与特定的CVE联系起来, 截至2023年12月,我们已经观察到多个利用Adobe ColdFusion的实例 cve - 2023 - 26360 用于初始访问,以及ColdFusion的开发 cve - 2023 - 29300, cve - 2023 - 29298, cve - 2023 - 38203.
Rapid7的威胁情报 检测工程团队已经确定了在多个客户环境中对Adobe ColdFusion的积极利用. 观测到的活动可以追溯到2023年1月. 国际石油公司如下.
Rapid7在insighttidr中有现有的检测规则,这些规则已经识别了该活动,并根据观察到的行为创建了额外的规则. 我们也观察到被入侵的网站ooshirts [.该网站被用于其他可追溯到2022年3月的攻击.
攻击者的行为
到目前为止,最早确定的妥协时间框架发生在2023年1月初. Rapid7发现有证据表明,恶意行为者使用编码的PowerShell命令删除了webshell. 进程启动数据表明 ColdFusion 2018 是否生成恶意命令.
恶意行为者通过ColdFusion执行的base64编码命令示例:
解码:
Rapid7客户
在我们目前的调查中, 已经观察到先前存在的和新的检测触发了Rapid7的后开发 InsightIDR and 管理检测 & 响应(MDR) 客户:
Webshell -可能的ColdFusion Webshell命令行
该检测识别在命令行中传递的常见ColdFusion标签. 恶意行为者在创建webshell时将字符串重定向到文件时使用此技术.
攻击者技术-带有URLCache标志的CertUtil
此检测识别“证书”的使用.使用' -urlcache '标志传递给它. 恶意行为者使用这种技术来检索托管在远程web服务器上的文件并将其写入磁盘.
妥协指标
恶意行为者在创建webshell时将字符串重定向到文件中已经发现了这种技术. 寻找*.ColdFusion web浏览器中包含以下ColdFusion标签的cfm文件:
查看进程启动日志,查看ColdFusion Server的异常子进程
文件物品:
| Type | 价值 | 笔记 |
|---|---|---|
| 文件名 | WOW.TXT | ColdFusion网站管理权限 |
| 文件名 | wow.txt | ColdFusion网站管理权限 |
| 文件名 | www.txt | ColdFusion网站管理权限 |
| 文件名 | www.cfm | ColdFusion网站管理权限 |
| 文件名 | wow1.cfm | ColdFusion网站管理权限 |
| 文件名 | zzz.txt | ColdFusion网站管理权限 |
| 文件名 | dncat.exe | DotNetCat |
| 文件名 | nc.exe | NetCat |
| sha - 256 | e77d6a10370db19b97cacaeb6662ba79f34087d6eaa46f997ea4956e2ad2f245 | ColdFusion网站管理权限 |
| sha - 256 | 2482年ab79ecb52e1c820ead170474914761358d3cee16e3377fd6e031d3e6cc25 | ColdFusion网站管理权限 |
| sha - 256 | 03 b06d600fae4f27f6a008a052ea6ee4274652ab0d0921f97cfa222870b1ddc3 | ColdFusion网站管理权限 |
| sha - 256 | be56f5ed8e577e47fef4e0a287051718599ca040c98b6b107c403b3c9d3ee148 | ColdFusion网站管理权限 |
| MD5 | 1 edf1d653deb9001565b5eff3e50824a | DotNetCat |
| sha - 1 | 5 d95fb365b9d0ceb568bb0c75cb1d70707723f27 | DotNetCat |
| sha - 256 | 213079 ef54d225c4ca75dd0d57c931bdc613e8c89a2d0dbff88be5b446d231f0 | DotNetCat |
| MD5 | 470797 a25a6b21d0a46f82968fd6a184 | NetCat |
| sha - 1 | dac7867ee642a65262e153147552befb0b45b036 | NetCat |
| sha - 256 | ce80b839411b1541d09b0ede82f1477b516da0c60760079f46ba4443e1a6f419 | NetCat |
基于网络的指标:
| Type | 价值 | 笔记 |
|---|---|---|
| FQDN | www.av-iq [.]com | 合法的受损域名 |
| FQDN | www.ooshirts [.]com | 合法的受损域名 |
| URL | hXXps: / / www.av-iq [.] com/wow.txt | ColdFusion网站管理权限 |
| URL | hXXps: / / www.ooshirts [.] com/images/zzz.txt | ColdFusion网站管理权限 |
| URL | hXXps: / / www.ooshirts [.] com/images/dncat.exe | DotNetCat |
| URL | hXXp: / / www.ooshirts [.] com/images/nc.exe | NetCat |
斜接丙氨酸&/技术/ Subtechniques CK策略
TA0042 资源开发(策略):
TA0001 初步接触(战术):
- T1190 开发面向公众的应用(技术)
TA0002 执行(策略):
TA0003 持久性(策略):
TA0011 Command & 控制(策略):
缓解指导
虽然我们没有将这种行为与利用特定的CVE联系起来,但Adobe 发布的补丁 2023年3月14日ColdFusion的已知漏洞. 已知至少有一个版本16 (ColdFusion 2018)和版本6 (ColdFusion 2021)的cve补丁在野外被利用. Rapid7's vulnerability research team has successfully chained CVE-2023-26359 and cve - 2023 - 26360 for unauthenticated remote code execution; in-depth analysis and proof-of-concept code is 可以在这里的ackerkb中找到.
我们强烈建议ColdFusion客户更新到最新版本以修复已知的风险, 不管我们在这篇博客中详细描述的行为是否与最近的漏洞有关. 我们还建议客户检查他们的环境,寻找妥协的迹象.
InsightVM和expose客户可以通过以下方式评估他们暴露于已知Adobe ColdFusion漏洞的风险 重复漏洞检查覆盖率.
Eoin米勒 对本文有贡献.
