信息窃取器伪装成LDAPNightmare（CVE-2024-49113）PoC利用工具

2024年12月，微软通过每月补丁星期二更新修复了Windows轻量级目录访问协议（LDAP）中的两个关键漏洞。由于LDAP在Windows环境中的广泛使用，这两个漏洞被认为非常重要：

• CVE-2024-49112：一个远程代码执行（RCE）漏洞，攻击者可通过发送特制的LDAP请求利用该漏洞，在目标系统上执行任意代码。
• CVE-2024-49113：一个拒绝服务（DoS）漏洞，可被利用来崩溃LDAP服务，导致服务中断。

在本博客中，我们讨论了一个针对CVE-2024-49113（又名LDAPNightmare）的虚假概念验证（PoC）利用工具，旨在诱使安全研究人员下载并执行信息窃取恶意软件。尽管使用PoC诱饵作为恶意软件分发载体的策略并不新鲜，但此次攻击仍然引起重大关注，尤其是它利用了一个可能影响大量受害者的热门问题。

技术分析

包含PoC的恶意代码库似乎是原始创建者的一个分支。在这种情况下，原始的Python文件被替换为使用UPX打包的可执行文件poc.exe。尽管代码库乍看之下似乎正常，但可执行文件的存在引起了怀疑，因为它意外地出现在一个基于Python的项目中。

当用户执行该文件时，一个PowerShell脚本被丢弃并在%Temp%文件夹中执行。这将创建一个计划作业，进而执行一个编码的脚本。

解码后，脚本从Pastebin下载另一个脚本，该脚本收集受害者机器的公共IP地址并使用FTP上传。随后收集以下信息并使用ZIP压缩，之后将使用硬编码的凭据上传到外部FTP服务器：

• 计算机信息
• 进程列表
• 目录列表（下载、最近、文档和桌面）
• 网络IP
• 网络适配器
• 已安装的更新

结论

保护免受包含恶意软件的虚假代码库侵害需要采用技术措施、安全意识和最佳实践的组合。这包括以下内容：

• 始终从官方和受信任的代码库下载代码、库和依赖项。
• 对代码库中看似与所托管工具或应用程序不符的可疑内容保持警惕。
• 如果可能，确认代码库所有者或组织的身份。
• 审查代码库的提交历史和最近更改，以查找异常或恶意活动迹象。
• 对星标、分支或贡献者非常少的代码库保持警惕，尤其是那些声称被广泛使用的代码库。
• 查找关于代码库的评论、问题或讨论，以识别潜在的危险信号。

关于两个LDAP漏洞的更多详细信息可以在我们之前的博客条目中找到，该条目还提供了为防范CVE-2024-49113利用而创建的Trend Micro规则和过滤器的信息。

Trend Vision One™ 威胁情报

为了领先于不断演变的威胁，Trend客户可以在Trend Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先，并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动及其所用技术的全面信息。通过利用这些情报，客户可以采取主动步骤保护其环境、减轻风险并有效应对威胁。

• Trend Vision One 情报报告应用 [IOC扫描]
  • PoC还是毒药？恶意软件伪装成LDAP Nightmare利用工具
• Trend Vision One 威胁洞察应用
  • 新兴威胁：PoC还是毒药？恶意软件伪装成LDAP Nightmare利用工具

狩猎查询

Trend Vision One客户可以使用搜索应用将本博客文章中提到的恶意指标与环境中的数据匹配或狩猎。

• 在%LocalAppData%子目录下的可疑PowerShell脚本：

  1	eventSubId: 101 AND objectFilePath: /AppData\\Local\\Temp\\\w+\.tmp\\\w+\.tmp\\\w+\.ps1/

更多狩猎查询可供已启用威胁洞察权限的Trend Vision One客户使用。

妥协指标（IOC）

本博客条目的IOC列表可以在此处找到。

标签：恶意软件 | 端点 | 研究 | 文章、新闻、报告 | 网络威胁

作者：Sarah Pearl Camiling，威胁猎人

相关文章：

• 关键Langflow漏洞（CVE-2025-3248）被积极利用以分发Flodrix僵尸网络
• 重新审视UNC3886战术以防御当前风险
• 回归业务：Lumma窃取器以更隐蔽的方法回归

查看所有文章