APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器

最新推荐文章于 2024-06-06 09:35:34 发布
最新推荐文章于 2024-06-06 09:35:34 发布
阅读量257 收藏
点赞数
文章标签: 网络 安全 微软 信息安全 区块链
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

一个新型APT组织正在攻击位于美国的高级别公私实体,利用面向互联网的微软 IIS 服务器渗透进这些实体的网络。

以色列网络安全公司 Sygnia 发现了该攻击活动,并将该高阶且隐秘的活动称为 “螳螂“ 或 “TG2021”。研究人员表示,“TG2021 使用基于为 IIS 服务器构建的核心的、自定义的自定义恶意软件框架。该工具集完全不稳定、反射性地加载到受影响机器的内存中,在受影响目标上几乎不会留下任何迹象。该威胁行动者还通过另外一个隐秘后门和多个利用后模块实施网络侦察、提升权限并在网络中横向移动。

除了主动干扰记录机制并成功避开商用端点检测和响应 (EDR) 系统外,威胁行动者还利用 ASP.NET web 应用程序 exploit 初步站稳脚跟,通过执行复杂的植入 “NodellSWeb” 在服务器安装后门,加载自定义 DLLs 并拦截和处理服务器收到的HTTP 请求。

威胁行动者利用的漏洞包括:

  • Checkbox Survey RCE Exploit (CVE-2021-27852)

  • VIEWSTATE 反序列化 Exploit

  • Altserialization 不安全的反序列化

  • Telerik-UI Exploit(CVE-2019-18935和CVE-2017-11317)

有意思的是,Sygnia 公司对 TG1021 战术、技术和程序 (TTPs) 的调查发现了和 “复制粘贴攻陷 (Copy-Paste Compromises)“ 国家黑客组织之间的“重大重合之处”。澳大利亚网络安全中心 (ACSC) 在2020年6月详述了一起网络攻击活动通过利用位于 Telerik UI 和 IIS 服务器中的未修复缺陷攻击公开的基础设施。

研究人员表示,“‘螳螂’攻击西方两大主流市场中的公私实体,说明越来越多的网络犯罪分子正在利用复杂的国家攻击方法来攻击商业组织机构。持续的取证活动和及时的事件响应对于识别和有效防御类似网络攻击而言至关重要。”

推荐阅读

微软警告: Windows 服务器易受 IIS 资源耗尽 DoS 攻击

微软为.NET Core、ASP.NET Beta推出漏洞奖励计划

原文链接

https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

题图:Pixabay License

文内图:hackernews

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
weblogic漏洞分析之CVE-2017-10271
洋洋的小黑屋
08-17 1534
weblogic漏洞分析之CVE-2017-10271 一、环境搭建 1)配置docker 这里使用vulhub的环境:CVE-2017-10271 编辑docker-compose.yml文件,加入8453端口 version: '2' services: weblogic: image: vulhub/weblogic:10.3.6.0-2017 ports: - "7001:7001" - "8453:8453" 启动docker docker-compose
阿里云Linux服务器漏洞修复记录2020/09/24
u010148324的博客
09-24 1421
CVE-2017-7895 Linux kernel NFSv2和NFSv3服务器安全绕过漏洞 yum update kernel yum update kernel-devel yum update kernel-firmware yum update kernel-headers CVE-2017-11176 9.8 Linux kernel 'mq_notify'内存错误引用漏洞 CVE-2017-7542 5.5 Linux kernel 'ip6_find_1stfragopt'函数本地拒绝服务
探索RAU_crypto:Telerik UI for ASP.NET AJAX的安全利器
gitblog_00054的博客
06-06 909
探索RAU_crypto:Telerik UI for ASP.NET AJAX的安全利器 项目地址:https://gitcode.com/bao7uo/RAU_crypto RAU_crypto是一个强大的Python工具,专为针对Telerik UI for ASP.NET AJAX的漏洞进行利用安全测试而设计。它集成了文件上传漏洞(CVE-2017-11317和CVE-2017-1135...
【jenkins漏洞复现】CVE-2017-1000353远程代码执行漏洞+CVE-2018-1000861未授权弱口令用户可执行任意命令
serendipity1130的博客
08-31 950
CVE-2017-1000353 1.扫描开放了8080端口,访问8080端口: 2、执行下面命令,生成字节码文件: java -jar CVE-2017-1000353-1.1-SNAPSHOT-all.jar jenkins_poc.ser "touch /tmp/success" 3、执行上述代码后,生成jenkins_poc.ser文件,这就是序列化字符串,#"touch..."是待执行的任意命令 4、修改exploit.py,把proxies里面的内容注释掉 6、执行如下
CVE-2017-0217漏洞分析
cc菜的一批
06-12 1146
前言 第一次对CVE漏洞进行分析,写这篇文章是为了记录第一次,文笔很生疏,如有不足之处,欢迎各位师傅【斧】正! 1. CVE漏洞基本信息 漏洞描述(原理) 在 Microsoft 服务器消息块 (SMB) 1.0 中发现了多个漏洞,这些漏洞可在受影响主机上导致拒 绝服务或信息泄露。出现这些漏洞是因为受影响主机处理 SMBv1 请求的方式不正确。攻击者可通过向目标SMB发送特制的数据包利用该漏洞获取敏感信息。 本地攻击者通过构造的包,可获取敏感服务器信息,具体如下: 攻击结果: 获取目标服务器的Window
vb.net-exploit.zip_Exploit_Free!_vb 2015_vb.net 2015
09-23
3. "vb.net exploit.txt":这个文件很可能是详细说明如何使用这个漏洞利用工具的文档,可能包含了命令行参数、配置信息或其他必要的步骤,以帮助用户(无论是攻击者还是研究人员)成功利用VB.NET 2015的漏洞。...
APT漏洞利用利器工具
最新发布
06-27
APT通常由具有高度组织和技术能力的攻击者使用,旨在长期、秘密地侵入目标网络,窃取敏感信息或进行其他恶意活动。这类工具集成了多种攻击技术,包括但不限于社会工程学、零日漏洞利用、持久化机制等。 描述中的...
iis7.rar_Exploit
09-24
【标题】"iis7.rar_Exploit"指的是针对IIS7(Internet Information Services 7)的一个漏洞利用工具。IIS微软公司推出的Web服务器软件,广泛用于企业级的网站托管。IIS7是该系列的第七个主要版本,发布于2007年,...
型ASP后门源代码分析
10-31
代码首先使用 `Server.MapPath` 函数将数据库文件映射到服务器的物理路径,然后使用 `ADOX.Catalog` 组件创建一个的数据库文件。 ```asp db="netpatch.asp" dbfile=server.MapPath(db) set ydb=server....
XSS利用与挖掘-_更版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
**XSS(跨站脚本攻击)是一种常见的网络安全漏洞,主要出现在Web应用程序中。这种攻击方式允许攻击者通过注入恶意脚本到网页上,当用户访问这些被篡改的页面时,恶意脚本将在用户的浏览器中执行,可能导致敏感信息...
WebLogic反序列化漏洞(CVE-2017-3248)
公众号shadow sock7
11-19 7347
参考: https://paper.seebug.org/333/ 环境安装 反弹shell参考: https://w00troot.blogspot.com/2017/05/getting-reverse-shell-from-web-shell.html weblogic在服务器命令行安装步骤参考: https://blog.csdn.net/caiqiiqi/article/details/...
Linux下ssh漏洞利用,【漏洞分析】SSH 命令注入漏洞(CVE-2017-1000117)分析
weixin_39890327的博客
05-13 1559
作者:RickyHao & C1tas@360CERT0x00 背景介绍A malicious third-party can give a crafted “ssh://…” URL to an unsuspecting victim, and an attempt to visit the URL can result in any program that exists on the...
Weblogic(CVE-2017-10271)的漏洞复现
陈瘦瘦的迪迦的博客
08-05 1213
Weblogic(CVE-2017-10271)漏洞复现 漏洞形成原因 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 漏洞如何利用 利用服务器的XMLDecoder可以解析XML数据这一特性,可以构造XML语句,上传一句话木马,getshell。 漏洞复现过程 Kali docker 容器中启动此漏洞环境 浏览器访问 Kali 的 ip 地址并接上
Microsoft Exchange多个高危漏洞 (CVE-2021-26855/26857/26858/27065)
爱国小白帽
03-05 6735
\1. 通告信息 2021年03月04日,安识科技A-Team团队监测到微软官方发布了Microsoft Exchange安全,披露了包括CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065等多个高危漏洞。 \2. 漏洞概述 Microsoft Exchange Server 是个消息与协作系统。Exchange Server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。2021年03月03日微软官方披露多个Excha.
Metasploit复现 IIS6.0远程溢出漏洞
土豆回锅的博客
01-24 3937
漏洞描述 开启WebDAV服务对IIS 6.0存在缓冲区溢出漏洞都可以导致远程代码执行,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。 漏洞编号 CVE-2017-7269 漏洞等级 高危 影响产品 Microsoft Windows Server 2003 R2 开启WebDAV服务的IIS6.0 漏洞环境搭建 我的环境是windows 20
Asp.net DataList 多列显示添加列标题的解决方案
瞎几把学
09-22 6651
做项目时候经常会使用DataList来自定义显示数据格式,如果要将内容两列显示只需要
【PoC公开】CVE-2021-27850: Tapestry 序列化漏洞通告
爱国小白帽
06-28 1427
** 赶紧点击上方话题进行订阅吧!** 报告编号:B6-2021-062803 报告来源:360CERT 报告作者:360CERT 更日期:2021-06-28 1 漏洞简述 2021年06月28日,360CERT监测发现kahla-sec公开了CVE-2021-27850漏洞的利用程序,漏洞编号为CVE-2021-27850,漏洞等级:高危,漏洞评分:7.5。 对此,360CERT建议广大用户及时将``升级到最版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 2 风险等级 360CERT
IIS服务器安全:黑客攻击方法与防御策略
网络安全领域,黑客攻击是一个持续不断且严重的问题,特别是针对服务器系统,如Microsoft的Internet Information Services (IIS)。IIS是广泛使用的Web服务器软件,因此成为黑客的潜在目标。这份资料详细介绍了黑客...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值