Inside the Open Directory of the “You Dun” Threat Group – The DFIR Report の脅威インテリ記事を読むだけの記事です。
注記:この記事はハッキング行為を推奨したものではありません。
DFIR Reportの脅威インテリジェンス チームが、2024 年 1 月にオープン ディレクトリを検出し、その取引手法と脅威アクタの活動を分析したもの。webアプリケーションの脆弱性を突かれてファイルをアップロードされて、ランサムウェアの感染につながった。
利用ツール
- WebLogicScan
- Vulmap
- Xray
- SQLmap
- Cobalt Strike
- Viper framework
- traitor
脆弱性
- CVE-2021-25003
- CVE-2019-25003
- Scalar::check_overflowのサイドチャネルタイミング攻撃
- CVE-2022-0847
- CVE-2021-4034
- CVE-2021-3560
Technique
- Application Layer Protocol - T1071
- Data Encrypted for Impact - T1486
- Exploitation for Privilege Escalation - T1068
- Exploit Public-Facing Application - T1190
- Ingress Tool Transfer - T1105
- Vulnerability Scanning - T1595.002
- Web Protocols - T1071.001
- Wordlist Scanning - T1595.003
内容
偵察
https://github.com/rabbitmask/WeblogicScan
https://github.com/zhzyker/vulmap
vulmap:
fオプション->ターゲットリストファイルを選択
aオプション->対象アプリケーションを選択
tオプション->実行スレッド数を選択
Webサイトに対するより広範な脆弱性をスキャン。URLパスのスキャンも実施。
https://github.com/chaitin/xray/tree/master
https://github.com/maurosoria/dirsearch
初期アクセス
SQLmapを利用したSQLiでサイトを侵害。
https://github.com/sqlmapproject/sqlmap
seeyon_expでログインバイパスするためのJSPXをアップロードする。(Zhiyuan OAという中国のソフトウェア会社が開発したOA支援ソフトらしい)
https://github.com/Summer177/seeyon_exp
C2
Cobalt Strike。他スクリプトやモジュールは以下。
- CrossC2-GithubBot-2023-03-27.cna
- TaoWu
Ladon
Viper
- https://github.com/FunnyWolf/Viper
- エクスプロイト後の活動に使用されるC2ツール
- f8x
- https://github.com/ffffffff0x/f8x
- 自動セットアップツール
- viperのセットに利用された
権限昇格
- CDK
- https://github.com/cdk-team/CDK
- コンテナexploitツールキット
- Traitor
- https://github.com/liamg/traitor
- Linuxの権限昇格exploitツール
インパクト
- LockBit Black
メモ
スレッドインテリジェンスチームが、Opendirなサイトを見つけてアクターの分析を行なったもの。調査の際、sshフィンガープリントをCensysで検索を掛けるのは勉強になった。中国語を話す脅威アクタとのことだが、中国国内も攻撃対象としているので政府系ではなく純粋にそういうビジネスをしている人々なのだろう。