黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike

该漏洞是“严重”的反序列化漏洞（CVSS评分9.8），可导致在 ASP.NET AJAX 的 Telerik UI 库中执行远程代码。

Blue Mockingbird 黑客组织还在2020年5月利用该漏洞攻击使用 Telerik UI的微软IIS服务器，而此时距离厂商发布安全更新已过去一年的时间。

令人惊讶的是，Sophos 公司的研究员指出，该黑客组织仍然在利用该漏洞发动网络攻击。

为利用该漏洞，攻击者必须获得加密密钥，保护 Telerik UI 在目标上的序列化。攻击者可通过利用目标 web app 中的另外一个漏洞或利用CVE-2017-11317和CVE-2017-11357实现这一目的。

由于很多 web 应用是在开发之时就嵌入该 Telerik UI 框架版本并在之后不再继续或者将其忘记，因此仍然存在有效的攻击目标。一旦获得密钥，攻击者就能够编译包含该代码的恶意DLL，在反序列化过程中执行并且在 “w3wp.exe” 进程上下文中运行。

Sophos 公司在最近的攻击中发现，Blue Mockingbird 组织利用现成可用的PoC exploit 处理该加密逻辑并将DLL编译自动化。

最近攻击活动中使用的payload 是 Cobalt Strike 信标，它是Blue Mockingbird 滥用于执行已编码 PowerShell 命令的合法渗透测试工具。

攻击者通过GPOs 创建用包含base64编码的PowerShell 的新注册表项编写的调度任务，从而实现持久性。

脚本使用常见的AMSI绕过技术，逃避 Windows Defender 检测，下载并将 Cobalt STRIKE DLL加载到内存中。

第二阶段的可执行文件 (‘crby26td.exe’) 是XMRig Miner，是标准的开源密币挖矿机，用于挖掘追踪难度最大的密币之一，门罗币。

值得注意的是，这是Blue Mockingbird组织在2020年攻击活动中的主要目标，其整个攻击链、技术和目标并未发生太多改变。然而，部署 Cobalt Strike 创建了在受陷网络中轻松进行横向移动、窃取数据、接管账户和部署更多payload如勒索软件的方法。目前尚无法确定该黑客组织是否有意探索这些场景，不过目前它们的目标是门罗币挖掘。

https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~