今年 4 月,VMware 公佈並修補了編號為 CVE-2022-22954 的遠端代碼執行漏洞。因為缺乏對參數 “deviceUdid” 和 “devicetype” 進行有效的清理,該漏洞引入了伺服器端模版的注入攻擊 (server-side template injection, SSTI) 的可能性。它允許攻擊者注入負載 (Payload),並能夠在 VMware Workspace ONE Access 和 Identity Manager 元件上進行遠端代碼執行。FortiGuard Labs 發佈了有關 CVE-2022-22954 漏洞的威脅報告,並在 4 月份針對該漏洞發佈了 IPS 特徵碼。
4 月以來,Fortinet 陸續觀察到針對此的在野攻擊事件,但大多數負載均限於窺探受害者的密碼、hosts檔等敏感性資料。然而到8月間,一些特定的負載引起了Fortinet研究人員的警覺。試圖植入Mira,企圖攻擊運行Linux系統的潛在目標網路設備、RAR1ransom勒索軟體,利用合法的WinRaR加密使用者資料,並使用xmrig挖礦軟體變種GuardMiner挖礦木馬對門羅幣錢包進行挖礦行為。
本文將為您全面盤點惡意軟體如何利用 VMware 漏洞以及漏洞利用後續行為,避免您的資產收到損害。
受影響平台: VMware Workspace ONE Access 和 Identity Manager
受影響群體:VMware 用戶
影響範圍:攻擊者利用此漏洞發送含有惡意命令的資訊,發起命令注入攻擊
嚴重等級:高風險
Mirai變種
Mirai 變種的完整負載如圖 2 所示,該字串將打開臨時目錄並從http[:]//107[.]189[.]8[.]21/pedalcheta/cutie[.]x86_64連結下載 Mirai 變種,之後使用參數“VMware”執行惡意命令。
如同多數Mirai僵屍網路一樣,該變種的主要手段包括發起DoS拒絕服務和暴力破解攻擊。我們利用0x54對資料進行XOR處理後,解碼了部分配置並發現C2伺服器名稱為“cnc[.]goodpackets[.]cc”。以下為解碼後的字串:
我們還使用經編碼的帳戶和密碼字串識別出暴力破解函數:
下表列出經Fortinet研究人員解碼後的部分密碼,其中除了常見密碼外,不乏一些知名物聯網設備的預設帳號:
hikvision | 1234 | win1dows | S2fGqNFs |
root | tsgoingon | newsheen | 12345 |
default | solokey | neworange88888888 | guest |
bin | user | neworang | system |
059AnkJ | telnetadmin | tlJwpbo6 | iwkb |
141388 | 123456 | 20150602 | 00000000 |
adaptec | 20080826 | vstarcam2015 | v2mprt |
Administrator | 1001chin | vhd1206 | support |
NULL | xc3511 | QwestM0dem | 7ujMko0admin |
bbsd-client | vizxv | fidel123 | dvr2580222 |
par0t | hg2x0 | samsung | t0talc0ntr0l4! |
cablecom | hunt5759 | epicrouter | zlxx |
pointofsale | nflection | admin@mimifi | xmhdipc |
icatch99 | password | daemon | netopia |
3com | DOCSIS_APP | hagpolm1 | klv123 |
OxhlwSG8 |
該Mirai變種執行命令後,將顯示硬編碼字串“InfectedNight did its job”,同時發送參數為“VMware”的心跳資訊至C2伺服器,隨後等待來自C2伺服器的下一步命令。下圖顯示Fortinet捕獲的心跳流量資訊和暴力攻擊會談流量資訊。
RAR1Ransom 和 GuardMiner初始化腳本
另一個值得關注的負載來自字串67[.]205[.]145[.]142。該負載包含兩個會談,每個會談所涉及的指令隨受害者使用的作業系統而異。其中一個針對Windows系統的指令利用 PowerShell 下載指令檔“init.ps1”,另一個針對Linux系統的指令則利用python 函式程式庫中的curl、wget和urlopen指令下載指令檔“init.sh”。
在PowerShell 指令檔“init.ps1”中,包含了一些指向 cloudflare-ipfs[.]com的連結,以用於下一步攻擊,每個檔都有連接至crustwebsites[.]net. 的特定備份連結。
用於初始化的7 個檔案:
- phpupdate.exe:Xmrig門羅幣挖礦軟體
- config.json:挖礦池設定檔
- networkmanager.exe:用於掃描和傳播感染的可執行檔
- phpguard.exe:用於保護Xmrig挖礦軟體持續運行的可執行檔
- init.ps1:建立排程工作以實現持續性攻擊的指令檔
- clean.bat:用於刪除受感染主機中其他加密挖礦軟體的指令檔
- encrypt.exe:RAR1 勒索軟體
如圖 11 所示,在“start encrypt”指令段落中,攻擊者在啟動 RAR1ransom 前,會預先檢查“flag_encrypt.flag”,如果檢測到 flag 檔存在並且之前已下載“encrypt.exe”,則刪除“encrypt.exe”,而後進入下一攻擊階段。否則,該指令將檢查檔大小以確定是否更新檔案路徑。檢查結束後即執行勒索軟體攻擊。RAR1勒索軟體的詳細資訊將在下一節中詳細說明。
隨後,腳本開始啟動GuardMiner攻擊。GuardMiner是一款跨平臺挖礦木馬程式,自2020年以來一直處於活躍狀態。FortiGuard Labs已發佈有關該挖礦木馬的詳細報告。在此版中,GuardMiner同樣會下載指令檔“init.sh”到Linux系統。
我們還注意到,GuardMiner 利用近期曝出的漏洞更新了“networkmanager.exe”。通過觀察每個漏洞利用模組名稱,我們發現出於安全測試目的,GuardMiner可能會從做為安全測試之用的Chaitin Tech Github收集漏洞利用列表。
以下為Fortinet獲取的完整漏洞列表:
eyou-email-system-rce | maccms-rce |
thinkphp5-controller-rce | seacms-rce |
terramaster-tos-rce-cve-2020-28188 | spon-ip-intercom-ping-rce |
thinkphp5023-method-rce | yonyou-grp-u8-sqli-to-rce |
yccms-rce | gitlist-rce-cve-2018-1000533 |
phpunit-cve-2017-9841-rce | pandorafms-cve-2019-20224-rce |
yonyou-nc-bsh-servlet-bshservlet-rce | CVE-2022-22947-spring-clond-Gateway-RCE |
CVE-2022-22954-VMware-RCE | amtt-hiboss-server-ping-rce |
inspur-tscev4-cve-2020-21224-rce | dlink-dsl-2888a-rce |
phpstudy-backdoor-rce | Confluence-CVE-2022-26134 |
seacms-before-v992-rce | apache-flink-upload-rce |
dedecms-cve-2018-7700-rce | solr-velocity-template-rce |
webmin-cve-2019-15107-rce | jumpserver-unauth-rce |
Hotel-Internet-Manage-RCE | drupal-cve-2018-7600-rce |
seacms-v654-rce | S2-045-rce |
tamronos-iptv-rce | ecshop-rce |
satellian-cve-2020-7980-rce | opentsdb-cve-2020-35476-rce |
zeroshell-cve-2019-12725-rce | struts2-062-cve-2021-31805-rce |
dlink-cve-2019-16920-rce | h3c-imc-rce |
RAR1Ransom
14.RAR1ransom透過利用C:/Windows/Temp folder中的合法WinRaR軟體“rar.exe”,使用密碼壓縮受害者檔,並同時使用 WinRaR 中的多個預設選項完成加密操作以提高效率,如圖 14所示,我們可從程序資源管理器中找到這些程序。
整個命令如下所示,選項“df”和“m0”表示將檔案添加至存檔後不進行壓縮並直接刪除,“mt10”表示將使用十個執行緒載入,“ep”表示從檔案名稱中刪除路徑,“hp”表示使用密碼加密檔資料和檔案名。
如圖 15 所示,RAR1Ransom會以受害者的檔案中具有特定副檔名的檔案為目標。
RAR1Ransom 為所有的加密檔案配置了唯一的檔案名稱和“.rar1”副檔名,並將附有圖 17 所示勒索資訊的文字檔“READ_TO_DECRYPT.txt”與加密檔置於同一資料夾中給受害者。
從圖 17 勒索信中的錢包字串可以看出,該字串與圖 18 中 GuardMiner 挖礦木馬配置資訊中的“user”字串相同。由此可見,攻擊者計畫充分地利用受害者資源,不僅安裝了RAR1Ransom勒索軟體進行敲詐勒索,還植入了GuardMiner木馬挖掘和收集加密貨幣。
Conclusion 結論
儘管早在4月份,VMware官方已發佈針對高風險漏洞CVE-2022-22954的修復補丁,但截至目前仍有多個惡意軟體程式企圖利用該漏洞發起攻擊。Foritnet 呼籲使用者儘快安裝最新版VMware軟體,積極修復系統漏洞,並時刻警惕本地網路環境中的任何可疑程序。雖然這些Mirai變種、RAR1Ransom勒索軟體以及GuardMiner木馬程式並不是非常複雜的威脅樣本,但其採用的戰術和方法始終不斷變化和演進,廣大用戶依然不可掉以輕心。FortiGuard Labs將持續檢測此類漏洞攻擊活動並為您提供前沿資訊。
Fortinet 解決方案助您安心無憂
Fortinet已針對 CVE-2022-22954漏洞發佈了IPS 特徵碼“VMware.Workspace.ONE.Access.Catalog.Remote.Code.Execution”,能夠有效攔截利用該漏洞的攻擊,確保使用者系統安全。該威脅特徵碼已在 IPS 特徵庫 20.297 版本中正式發佈。
FortiGuard防病毒服務及FortiEDR可成功檢測並攔截威脅腳本和惡意軟體活動:
Adware/Miner
W32/PossibleThreat
Riskware/Agent
BASH/CoinMiner.RZ!tr
PowerShell/CoinMiner.BW!tr
ELF/GuardMiner.A!tr
W64/GuardMiner.A!tr
BAT/Cleaner.CC41!tr
IOCs
SHA256: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