Desktop Central服务器DDoS防御RCE漏洞在野攻击分析-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Desktop Central服务器DDoS防御RCE漏洞在野攻击分析

Desktop Central服务器DDoS防御RCE漏洞在野攻击分析

小墨安全管家 2020-09-30 13:11 CC防护 89 ℃
DDoS防御

攻击结束后,我们观看到了恶意的Bitsadmin命令,其中包含install.bat从66.42.96.220可疑端口12345举行转移的指令。

在运行PowerShell命令后,我们观看到安装了服务名称StorSyncSvc和显示名称为Storage Sync Service(图5)的新服务。

我们还观看到了潜在的凭证访咨询活动。攻击者执行凭据转储的常用技术是使用恶意进程(SourceImage)访咨询另一具进程(TargetImage),最常见的是将lsass.exe作为目标,因为它通常包含敏感信息,例如帐户凭据。

 ParentImage | endswith:    'DesktopCentral_Server\jre\bin\java.exe'  CommandLine | contains:    '*powershell*'   '*certutil*'   '*bitsadmin*'

0x06 IOCs

在对这种入侵举行分析的过程中,我们向Eric Zimmerman的KAPE工具添加了一些收集目标功能,以将相关日志添加到分类工作中。


Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

参考:

Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

Desktop Central服务器DDoS谨防RCE漏洞在野攻击分析

我们的分析师观看到,bitsadmin命令正在Desktop Central服务器上运行,该命令包含在PowerShell下载命令中调用的相同IP地址,端口和相同的install.bat文件(图17)。

在下面的记录中能够看到整个过程(图14)。

在研究Desktop Central漏洞的过程中,我们在推特上找到了一位研究人员的帖子,该研究人员于2020年3月5日披露了Desktop Central的RCE漏洞。


DDoS防御

当前位置:主页 > CC防护 > Desktop Central服务器DDoS防御RCE漏洞在野攻击分析

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119