CVE-2019-2725 Oracle WebLogic漏洞在密码劫持中被利用资讯,新闻

By admin

2019-06-11 18:24:30

浏览量393

已赞0

前言“据Trend Micro报道,Oracle WebLogic最近解决了CVE-2019-2725漏洞,该漏洞正被用于密码劫持攻击

趋势科技(Trend Micro)的专家报告称,最近修复的Oracle WebLogic中的CVE-2019-2725漏洞正被用于密码劫持攻击
该缺陷是一个反序列化远程命令执行0day漏洞,影响Oracle WebLogic wls9_async和wls-wsat组件。
这个问题会影响所有Weblogic版本,包括最新版本,其中包含wls9_async_response。战争和wls-wsat。战争使组件。
Oracle WebLogic Server是目前由Oracle公司开发的Java EE应用服务器,它被众多应用程序和基于Java技术的web企业门户网站所使用。
攻击者可以通过发送一个经过特殊设计的HTTP请求,利用该漏洞在没有授权的情况下远程执行命令。
不幸的是,CVE-2019-2725漏洞在4月底得到了修补,几天后,威胁行为者开始利用Oracle WebLogic服务器的漏洞来发布Sodinokibi勒索软件。
在安全咨询报告发表后,SANS研究所的专家报告称,该漏洞已经在密码劫持活动中被积极利用。趋势科技的专家现在证实了SANS的报告,并补充说攻击者正在使用一种有趣的混淆技术。
此活动中使用的恶意软件将其恶意代码隐藏在证书文件中,以逃避检测。
CVE-2019-2725 cryptojacking

一旦恶意软件被执行,它利用CVE-2019-2725漏洞执行命令并执行一系列例程。
这个命令的目的是执行一系列的例行程序。首先,PowerShell (PS)用于从命令与控制(command-and-control, C&C)服务器下载一个证书文件,并将其保存在%APPDATA%下,使用的文件名是cert.cer (Trend Micro检测到的文件名为Coinminer.Win32.MALXMR.TIAOODCJ.component)。
“然后它使用组件CertUtil来解码文件,CertUtil用于管理Windows中的证书。”
攻击链从从C2服务器下载证书文件的PowerShell开始。恶意代码使用CertUtil工具解码文件,然后使用PowerShell执行。然后使用cmd删除下载的文件。
证书文件显示为隐私增强邮件(PEM)格式的证书,它是PowerShell命令的形式,而不是X.509 TLS文件格式。
下载的证书文件的一个有趣特性是,它要求在显示PS命令之前对其进行两次解码,这是不寻常的,因为来自攻击的命令只使用CertUtil一次。专家们继续说道。“我们下载的证书文件也有可能与远程命令实际要下载的文件不同,这可能是因为威胁行为者一直在更新它。”
证书文件中的命令被骗子用来下载和执行内存中的另一个PowerShell脚本。脚本下载并执行多个文件,包括Sysupdate.exe (Monero miner)、Config。json(用于矿工的配置文件)、Networkservice.exe(可能用于WebLogic的传播和开发)、Update。ps1(内存中的PowerShell脚本)、Sysguard .exe(矿工进程的看门狗)和Clean.bat(删除其他组件)。
专家注意到这一更新。包含已解码证书文件的ps1文件将被新更新替换。创建一个调度任务,每30分钟执行一次新的PowerShell脚本。
将恶意软件隐藏在证书中并不是什么新鲜事,Sophos的专家在去年年底的一个概念验证中探索了这种技术。
然而,奇怪的是,当从已解码的证书文件执行PS命令时,下载其他恶意文件时,并没有通过前面提到的证书文件格式进行隐藏。趋势科技总结道。“这可能表明,这种混淆方法目前正在测试其有效性,稍后将扩展到其他恶意软件变体,”

文章来自:华盟网 原文链接https://www.77169.com/html/237328.html

发表评论
拖动滑块验证
»
请先 注册/登录 后参与评论

已有0 发布

默认   热门   正序   倒序
    查看更多评论
    已有0次打赏