漏洞利用
CVE-2019-19781 (Citrix Application Delivery Controller [ADC])
2020年1月20日开始,APT41使用IP地址66.42.98 [.] 220尝试利用漏洞CVE-2019-19781(于2019年12月17日发布)。
时间线:
最初利用CVE-2019-19781攻击发生在2020年1月20日和2020年1月21日,攻击活动中会执行命令‘file /bin/pwd’。 首先将确认系统是否存在漏洞,有没有部署相关漏洞缓解措施。 其次返回目标体系结构相关信息,为APT41后续部署后门提供信息。
所有观察到的请求仅针对Citrix设备执行,APT41利用已知设备列表进行操作。
HTTP POST示例:
POST /vpns/portal/scripts/newbm.pl HTTP/1.1
Host: [redacted]
Connection: close
Accept-Encoding: gzip, deflate
Accept: **;q=0.8Referer: http://cdn.bootcss.com/Accept-Encoding: gzip, deflateCookie: __cfduid=CdkIb8kXFOR_9Mn48DQwhIEuIEgn2VGDa_XZK_xAN47OjPNRMpJawYvnAhPJYMDA8y_rXEJQGZ6Xlkp_wCoqnImD-bj4DqdTNbj87Rl1kIvZbefE3nmNunlyMJZTrDZfu4EV6oxB8yKMJfLXydC5YF9OeZwqBSs3Tun12BVFWLIUser-Agent: Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like GeckoConnection: Keep-Alive Cache-Control: no-cache在攻击利用几个小时内,APT41使用storecyncsvc.dll BEACON后门下载了具有不同C2地址的辅助后门,然后下载2.exe(MD5:3e856162c36b532925c8226b4ed3481c)。2.exe是VMProtected Meterpreter下载器,用于下载Cobalt Strike BEACON shellcode。该组利用多次入侵来延迟对其其他工具的分析。
APT41这次活动中的扫描和攻击体现了其漏洞利用速度越来越快,目标信息搜集范围逐步扩大。此前美国防部确认,APT41成功利用CVE-2019-3396(Atlassian Confluence)攻击美国一所大学。可见APT41在从事间谍活动同时也在进行以经济利益为动机的网络活动。
以上就是如何进行APT41多漏洞网络攻击的分析,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道
