信息窃取器伪装成LDAPNightmare (CVE-2024-49113) PoC漏洞利用
2024年12月,微软通过每月补丁星期二更新修复了Windows轻量级目录访问协议(LDAP)中的两个关键漏洞。由于LDAP在Windows环境中的广泛使用,这两个漏洞被认为非常重要:
- CVE-2024-49112:远程代码执行(RCE)漏洞,攻击者可通过发送特制LDAP请求利用此漏洞,在目标系统上执行任意代码。
- CVE-2024-49113:拒绝服务(DoS)漏洞,可被利用来崩溃LDAP服务,导致服务中断。
在本博客中,我们讨论了一个针对CVE-2024-49113(又名LDAPNightmare)的虚假概念验证(PoC)漏洞利用程序,该程序旨在诱使安全研究人员下载并执行信息窃取恶意软件。
尽管使用PoC诱饵作为恶意软件传播载体的策略并不新鲜,但此次攻击仍存在重大隐患,特别是它利用了一个可能影响大量受害者的热门问题。
技术分析
包含PoC的恶意存储库似乎是原始创建者的一个分支。在这种情况下,原始的Python文件被替换为使用UPX打包的可执行文件poc.exe。虽然存储库乍看之下似乎正常,但可执行文件的存在引起了怀疑,因为它意外地出现在一个基于Python的项目中。
当用户执行该文件时,一个PowerShell脚本被丢弃并在%Temp%文件夹中执行。这将创建一个计划任务,进而执行一个编码的脚本。
解码后,该脚本从Pastebin下载另一个脚本,该脚本收集受害者机器的公共IP地址并使用FTP上传。
然后收集以下信息并使用ZIP压缩,之后将使用硬编码的凭据上传到外部FTP服务器:
- 计算机信息
- 进程列表
- 目录列表(下载、最近、文档和桌面)
- 网络IP
- 网络适配器
- 已安装的更新
结论
保护免受包含恶意软件的虚假存储库侵害需要采用技术措施、安全意识和最佳实践的组合。这包括以下内容:
- 始终从官方和受信任的存储库下载代码、库和依赖项。
- 对包含可疑内容的存储库保持警惕,这些内容可能看似与它声称托管的工具或应用程序不符。
- 如果可能,确认存储库所有者或组织的身份。
- 审查存储库的提交历史和最近更改,以查找异常或恶意活动迹象。
- 对星标、分支或贡献者非常少的存储库保持警惕,特别是如果它们声称被广泛使用。
- 查找关于存储库的评论、问题或讨论,以识别潜在的危险信号。
关于两个LDAP漏洞的更多详细信息可以在我们之前的博客条目中找到,该条目还提供了为防范CVE-2024-49113利用而创建的Trend Micro规则和过滤器的信息。
Trend Vision One™ 威胁情报
为了领先于不断演变的威胁,Trend客户可以在Trend Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先,并为新兴威胁做好更好准备。它提供关于威胁行为者、其恶意活动以及他们使用的技术的全面信息。通过利用这些情报,客户可以采取主动步骤保护其环境、减轻风险并有效应对威胁。
Trend Vision One 情报报告应用 [IOC扫描]
PoC还是毒药?恶意软件伪装成LDAP Nightmare漏洞利用
Trend Vision One 威胁洞察应用
新兴威胁:PoC还是毒药?恶意软件伪装成LDAP Nightmare漏洞利用
狩猎查询
Trend Vision One客户可以使用搜索应用将本博客文章中提到的恶意指标与环境中的数据匹配或狩猎。
可疑的PowerShell脚本位于%LocalAppData%的子目录下
|
|
更多狩猎查询可供具有威胁洞察权限的Trend Vision One客户使用。
妥协指标(IOC)
本博客条目的IOC列表可以在此处找到。