DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 2491|回复: 2

[样本分析] 针对 HFS 服务器攻击案例 (CVE-2024-23692)

[复制链接]

15

主题

2

回帖

2

荣誉

Rank: 1

UID
1625
积分
34
精华
0
沃币
3 枚
注册时间
2024-3-8
发表于 2024-7-4 17:40:28 | 显示全部楼层 |阅读模式

HFS (HTTP 文件服务器) 是一个提供简单形式的 Web 服务的程序,由于 Web 服务只需可执行文件即可提供,无需自己搭建 Web 服务器,因此常用于文件共享目的,用户也可以通过浏览器访问地址轻松下载文件。



使用 HFS 时,它向不特定数量的用户开放,以便用户可以访问 HFS Web 服务器并下载文件,因此如果 HFS 存在漏洞,则可能成为外部攻击的目标。2024 年 5 月,HFS 远程代码执行漏洞 CVE-2024-23692 被披露,如果利用该漏洞,攻击者可以向 HFS 发送包含命令的数据包,导致 HFS 执行恶意命令。该漏洞还包括许多用户正在使用的 HFS 2.3m 版本,尽管它不是最新版本。

一、CVE-2024-23692 漏洞


漏洞曝光后不久,也发布了 PoC,利用该 PoC,可以将包含命令的数据包远程发送到 HFS 服务器,如下所示,攻击者在扫描对外开放的 HFS 服务后,可以利用 CVE-2024-23692 漏洞安装恶意代码或劫持控制。



AhnLab 安全情报中心 (ASEC) 正在监控此漏洞的攻击,该攻击自漏洞公开以来已得到证实,推测是通过 HFS 2.3m 利用 CVE-2024-23692 漏洞进行的攻击,该版本用户较多,属于易受攻击的版本。



初始渗透后,攻击者通过 whoami 或 arp 等命令收集系统信息,随后添加后门账户和隐藏账户,用于安装恶意软件或通过远程桌面访问。在此过程之后,很多情况下 HFS 都会被终止,从而无法再被其他攻击者利用。

  1. cmd /c "whoami"
  2. arp -a
  3. net user admin12 xiao9[제거]02.. /add
  4. net user admin XIAOh[제거]22.. /add
  5. net user tools Ad[제거]yq1 /add
  6. net localgroup administrators tools /add
  7. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v ad[제거] /t REG_DWORD /d 0
  8. taskkill /f /im hfs.exe
复制代码

二、CoinMiner


最常用的恶意软件是 XMRig,挖门罗币虚拟货币,至少有 4 名攻击者正在攻击 HFS 以安装 CoinMiner。在这 4 名攻击者中,LemonDuck 是一位知名的攻击者。

LemonDuck 于 2019 年首次被发现,一直在利用各种漏洞来攻击管理不当的系统。最后安装的是 XMRig,但它的特点是 XenoRAT 和漏洞扫描器脚本安装在一起。



三、Backdoor


除了挖矿软件之外,还发现了许多 RAT 和后门类型的恶意软件。除了上面介绍的 XenoRAT 之外,攻击者经常使用的 RAT 恶意软件还包括 Gh0stRAT 和 PlugX,以及 CobaltStrike 和 Netcat。

在攻击中使用的恶意软件中,PlugX 是 BackDoor.PlugX.38 的变种,与过去的文章 “通过漏洞攻击分发的 PlugX 恶意软件” 中提到的类型相同。支持的命令最高为 “0xA”,支持的插件 “Disk”、”Nethood”、”Netstat”、”Option”、”PortMap”、”Process”、”RegEdit” 和 “Service”、”Shell”、”SQL”、”Telnet”、”KeyLog”、”Screen”、”ClipLog” 和 “RDP” 被排除。



四、GoThief


此外,还存在各种恶意软件的攻击案例,其中代表性的例子是 GoThief,它利用亚马逊的 AWS 窃取受感染系统的信息。它是用 Go 语言创建的,根据用于创建恶意软件的源代码路径 “E:/Thief/GoThief-main/main.go”,这里将其归类为 GoThief。



截屏后,GoThief 使用 Amazon S3 服务 (存储桶名称:imgdev) 传输截取的图像,并收集桌面上的文件信息、上传的屏幕截图、IP 地址等信息发送至另一台 C&C 服务器。



五、结论


近日,提供 Web 服务的 HFS 程序中的远程代码执行漏洞 CVE-2024-23692 被披露,随后针对 HFS 漏洞版本的攻击案例不断被证实。使用 HFS 时,它向不特定数量的用户开放,以便用户可以访问 HFS Web 服务器并下载文件,因此如果 HFS 存在漏洞,则可能成为外部攻击的目标。

如果你使用的是 HFS,请检查是否为漏洞版本,并修补至最新版本,以防止已知漏洞的攻击。另外,你应该小心,通过将 V3 更新到最新版本来提前防止恶意软件感染。

六、IoCs


MD5

  • ce7dc5df5568a79affa540aa86b24773 : Gh0st RAT (2345.exe)
  • 8f0071027d513867feb3eb8943ccaf05 : Gh0st RAT (systeminfo.exe)
  • 77970a04551636cc409e90d39bbea931 : PlugX Loader (Roboform.dll)
  • 6adaeb6543955559c05a9de8f92d1e1d : PlugX (Encoded) (WindowsWatcher.key)
  • 4383b1ea54a59d27e5e6b3122b3dadb2 : GoThief (conost.exe)

C&C

  • 154.201.87[.]185:999 : Gh0st RAT
  • 164.155.205[.]99:999 : Gh0st RAT
  • support.firewallsupportservers[.]com:80 / 443 / 53 / 8080 : PlugX
  • hxxp://188.116.22[.]65:5000/submit : GoTheif

下载地址

  • hxxp://121.204.249[.]123/2345.exe : Gh0st RAT
  • hxxp://121.204.249[.]123:8077/systeminfo.exe : Gh0st RAT
  • hxxp://185.173.93[.]167:13306/Roboform.dll : PlugX Loader
  • hxxp://185.173.93[.]167:13306/WindowsWatcher.key : PlugX (Encoded)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
Hi, guys, This is My Blog -> https://ma1waresearch.com

1

主题

2

回帖

0

荣誉

Rank: 1

UID
196
积分
2
精华
0
沃币
0 枚
注册时间
2021-9-30
发表于 2024-7-5 21:53:14 | 显示全部楼层
学习了,准备护网。开始研究和使用
回复

使用道具 举报

15

主题

2

回帖

2

荣誉

Rank: 1

UID
1625
积分
34
精华
0
沃币
3 枚
注册时间
2024-3-8
 楼主| 发表于 2024-7-10 17:40:45 | 显示全部楼层
wcxgo 发表于 2024-7-5 21:53
学习了,准备护网。开始研究和使用

可以
Hi, guys, This is My Blog -> https://ma1waresearch.com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1楼
2楼
3楼

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 09:40 , Processed in 0.063953 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表