Usando uma metodologia vista pela primeira vez em 2020, um agente de ameaça desconhecida explorou um bug de três anos na estrutura do aplicativo Web Telerik UI.
Para assumir o controle de servidores Web, instalando beacons Cobalt Strike e outros malwares no processo da Web.
Nas semanas seguintes, os invasores vasculharam a Internet em busca de aplicativos vulneráveis. Muitos administradores de servidores foram pegos de surpresa por uma rápida onda de ataques entregues por mineradores de criptomoedas. Mas nem todos os servidores vulneráveis foram atacados na onda inicial.
Nos incidentes, o agente da ameaça desconhecida explorou a vulnerabilidade (designada CVE-2019-18935 ) para entregar um sinalizador Cobalt Strike (na forma de uma carga de DLL).
Para o disco e, em seguida, usou o sinalizador para executar comandos criptografados do PowerShell. Que baixou mais malware e estabeleceu persistência nos servidores por meio de alguns métodos inovadores.
O bug em questão, CVE-2019-18935, é uma vulnerabilidade de desserialização que afeta aplicativos da Web usando o Telerik em execução em servidores Windows. Especificamente a função RadAsyncUpload da interface do Telerik, usada para processar solicitações de upload de arquivos.
A serialização é quando um aplicativo da Web converte estruturas de dados complexas, como objetos, em um fluxo de bytes. Que pode ser armazenado em disco ou enviado por uma rede. A desserialização, como o próprio nome sugere, trata da conversão desse fluxo de bytes de volta ao objeto original. Mas se um aplicativo da Web desseriar dados da entrada do usuário, um invasor poderá inserir código malicioso no objeto serializado ou até mesmo substituir o objeto completamente.
A serialização dentro do manipulador de carga na interface do usuário do Telerik é protegida por chaves de criptografia e um invasor precisa conhecê-las antes de explorar a vulnerabilidade.
Feito isso, o invasor precisa compilar uma DLL de assembly de modo misto maliciosa , contendo código gerenciado e não gerenciado. Que, após a exploração, é executado no contexto do processo w3wp.exe, responsável por executar os aplicativos. web no Windows anfitriões.
Portanto, existem alguns pré-requisitos para essa cadeia de exploração: encontre um host vulnerável, explore uma vulnerabilidade de cinco anos para obter as chaves de criptografia (ou obtenha-as de outra maneira). Compile o tipo certo de DLL e, em seguida, explore o bug, desserialização. Parece muito esforço.
Os ataques observados pareciam usar o script de prova de conceito mencionado acima, com uma DLL de beacon Cobalt Strike usada como carga útil. Uma das peculiaridades desta exploração é que quando o invasor carrega a DLL para o servidor, ela sempre acaba no diretório C:\Windows\Temp no host de destino. Com um timestamp Unix como o nome do arquivo, permitindo-nos descobrir exatamente quando os invasores exploraram a falha.
Após a execução da carga útil do Cobalt Strike, os invasores executaram um comando PowerShell codificado em Base64. Para baixar e executar uma ameaça desconhecida adicional do servidor C2.
Em maio de 2020, pesquisadores relataram que um agente de ameaças chamado Blue Mockingbird estava explorando o CVE-2019-18935 para instalar o XMRig Miner e estabelecer persistência usando várias técnicas, incluindo tarefas agendadas.
Até agora, todos muito semelhantes. No entanto, existem algumas diferenças importantes nos casos que observados. Por exemplo, nos incidentes de 2020, o XMRig Miner foi empacotado como uma DLL e usado como carga útil principal. Enquanto vimos o Cobalt Strike usado inicialmente e o XMRig baixado posteriormente na cadeia de ataque por meio de um binário intermediário.
Blue Mockingbird também usou um sequestro COR_PROFILER COM para persistência, tarefas agendadas remotas para movimento lateral e Juicy Potato para escalação de privilégios (assim como Mimikatz para credenciais), enquanto essas técnicas estavam ausentes de nossas investigações.
