首页 >> 网络安全 >>极客新闻 >> 黑客组织利用Solaris零日漏洞
详细内容

黑客组织利用Solaris零日漏洞

时间:2020-11-18        阅读

在安全公司FireEye的研究机构Mandiant发布的新报告中,利用Oracle Solaris操作系统中发现的零日漏洞的黑客组织的详细信息已经公开发布。利用此漏洞的代号为UNC1945的威胁参与者被视为针对电信,金融和咨询公司。根据Mandiant的说法,该小组自2018年以来一直很活跃,但是使用零时差引起了研究人员的注意。

1.jpg

零日漏洞已被跟踪为CVE-2020-14871,被描述为影响可插拔身份验证模块的漏洞,并且被视为易于利用。该漏洞使未经身份验证的攻击者具有网络访问权限,从而可以破坏Oracle Solaris并成功允许帐户接管。从NVD获得10分,该缺陷被认为严重到足以接受关键分类。甲骨文已经打补丁漏洞,建议管理员更新软件,以便紧急修复漏洞。在这种情况下,黑客组织利用该漏洞绕过了身份验证程序,并在受害者的网络中安装了后门。然后,将后门用作对目标网络进行侦察并横向传播到其他易受攻击机器的方法。


UNC1945在操作方面表现出很高的经验和耐心。受害者网络的首次出现是在2018年,但活动似乎并未在地图上显示。威胁参与者在2020年中期再次出现,这意味着攻击者的有效驻留时间超过500天。最初的妥协似乎是由于SSH服务直接暴露给了Internet。研究人员在2020年中期发现,威胁行为者已经部署了一个名为EVILSUN的远程执行工具,其中包含一个利用上述零日漏洞的模块。为了避免检测到该组,该组下载并安装了运行版本为Tiny Core Linux OS的QEMU虚拟机。


此定制的Linux VM预先安装了一些黑客工具,例如网络扫描程序,密码转储程序,漏洞利用和侦察工具包,使UNC1945可以扫描公司内部网络的弱点,然后横向移动到多个系统。威胁执行者使用的工具箱允许在Windows或类似Unix的系统上执行此操作。通过使用工具箱来展示该小组的经验和技能,其中包括一些开源工具以及自定义恶意软件株。开源工具包括Mimikatz,Powersploit,Responder,Procdump,CrackMapExec,PoshC2,Medusa和JBoss漏洞扫描程序。最后一个是网络安全行业中许多人使用的众所周知的工具。


自定义恶意软件

如上所述,研究人员发现使用了几种自定义恶意软件毒株,将UNC1945与旧的和新的攻击相关联。这些菌株包括:


  • EVILSUN-一种远程利用工具,可使用SSH键盘交互式身份验证暴露的漏洞(CVE-2020-14871)来访问SPARC或i386体系结构的Solaris 10和11系统。远程利用工具与通过命令行传递的主机建立SSH连接。默认端口是普通SSH端口(22),但是可能会被覆盖。

  • LEMONSTICK-具有后门功能的Linux可执行命令行实用程序。后门可以执行文件,传输文件和隧道连接。LEMONSTICK可以通过两种不同的方式启动:传递-c命令行参数(带有可选文件)和设置'OCB'环境变量。当以`-c`命令行参数启动时,LEMONSTICK产生一个交互式shell。当以OCB模式启动时,LEMONSTICK希望从STDIN读取。预期将使用河豚算法对STDIN数据进行加密。解密后,它将根据特定名称调度命令。

  • LOGBLEACH-ELF实用程序,其主要功能是基于通过命令行提供的过滤器,从指定的日志文件中删除日志条目。

  • OKSOLO-将外壳程序绑定到指定端口的公共后门。可以对其进行编译以支持密码身份验证,也可以将其放入root shell。

  • OPENSHACKLE-侦查工具,用于收集有关已登录用户的信息并将其保存到文件中。OPENSHACKLE注册Windows Event Manager回调以实现持久性。ProxyChains-允许从HTTP(HTTPS)和SOCKS(4/5)代理服务器后面使用SSH,TELNET,VNC,FTP和任何其他Internet应用程序。此“代理”为任何应用程序提供代理服务器支持。

  • PUPYRAT(又名Pupy)-主要用Python编写的开源,多平台(Windows,Linux,OSX,Android),多功能RAT(远程管理工具)和开发后工具。它具有全内存执行准则,并且占用空间小,因此更难检测。它可以使用各种传输方式进行通信,可以迁移到进程中(反射注入),还可以从内存中加载远程Python代码,Python包和Python C扩展。

  • STEELCORGI-Linux ELF程序的打包程序,使用来自执行环境的密钥材料解密有效负载。首次启动时,恶意软件期望找到最多四个包含数字值的环境变量。恶意软件使用环境变量值作为密钥来解密要执行的其他数据。

  • SLAPSTICK-Solaris PAM后门,可使用秘密的硬编码密码授予用户访问系统的权限。

  • TINYSHELL-标准远程外壳程序工具(rlogin,telnet,ssh等)的轻量级客户端/服务器克隆,可以充当后门并提供远程外壳程序执行。此外,该克隆还允许文件传输。


威胁参与者的详细信息出现后,Mandiant还发布了有关被利用的零时差本身的详细信息,以便可以将EVILSUN安装在受害机器或网络上。为了了解UNC1945的方式,研究人员开发了针对该缺陷的概念验证代码。这使研究人员能够通过故意使SSH服务器崩溃来成功攻破Solaris系统。


此外,这是通过发送长于PAM_MAX_RESP_SIZE(512字节)的用户名并传递给函数来完成的。SSH服务器返回“身份验证失败”消息作为错误。在打补丁的系统上,然后将反复提示用户输入正确长度的正确用户名。但是,在未打补丁的系统中,此操作将绕过身份验证步骤,从而使攻击者可以访问系统。


Mandiant研究人员在评论零时差时指出,

“该漏洞可能已经存在数十年了,一个可能的原因是,只有在应用程序尚未将用户名传递给PAM之前将其限制为较小的长度时,该漏洞才可被利用。面对网络的软件并不总是限制用户名长度的一种情况出现在SSH服务器中,这是我们发现的[EVILSUN]工具使用的利用媒介。通过操纵SSH客户端设置来强制键盘交互式身份验证提示输入用户名,而不是通过常规方式发送用户名,攻击者还可以将无限制的输入传递给PAM parse_user_name函数,”


Oracle于10月发布的补丁程序可以有效地解决该问题,如果尚未安装,则应安装该补丁程序。关于UN1945是否发现了该缺陷,证据表明情况并非如此。Mandiant的研究人员在一个地下黑客论坛上发现了一则广告,该广告以3,000美元的价格出售“ Oracle Solaris SSHD远程根漏洞”。威胁参与者更有可能从另一位黑客那里购买了信息和概念证明代码,而不是试图自己发现错误。多年来,零日销售一直是在黑客论坛上赚钱的一种流行方法。这个子行业的普及似乎只是在蓬勃发展越来越多的人使用智能移动设备。可以将该行业与许多科技公司提供的漏洞赏金计划进行比较,该计划向发现软件和硬件缺陷的人们提供报酬。


然后,将这些缺陷告知制造商或软件提供商,以便在成为公众知识之前对其进行修补。对于那些在黑客论坛上出售零日漏洞的人来说,事实恰恰相反。漏洞通常卖给出价最高的人,通常是众所周知的高级持久威胁组,而不是将漏洞透露给受影响的一方。零时差仍然是对个人数字安全性的主要威胁,因为并非总是可以立即进行补救,而且在许多情况下,预防措施也不总是有效。这使黑客可以更轻松地破坏网络,因为他们不必导航那么多安全措施,并且无需付出太多努力就可以授予访问权限。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录