针对 HFS 服务器攻击案例 (CVE-2024-23692)

zer0daysec

报告原文：https://asec.ahnlab.com/ko/67509/

HFS (HTTP 文件服务器) 是一个提供简单形式的 Web 服务的程序，由于 Web 服务只需可执行文件即可提供，无需自己搭建 Web 服务器，因此常用于文件共享目的，用户也可以通过浏览器访问地址轻松下载文件。



使用 HFS 时，它向不特定数量的用户开放，以便用户可以访问 HFS Web 服务器并下载文件，因此如果 HFS 存在漏洞，则可能成为外部攻击的目标。2024 年 5 月，HFS 远程代码执行漏洞 CVE-2024-23692 被披露，如果利用该漏洞，攻击者可以向 HFS 发送包含命令的数据包，导致 HFS 执行恶意命令。该漏洞还包括许多用户正在使用的 HFS 2.3m 版本，尽管它不是最新版本。

一、CVE-2024-23692 漏洞

漏洞曝光后不久，也发布了 PoC，利用该 PoC，可以将包含命令的数据包远程发送到 HFS 服务器，如下所示，攻击者在扫描对外开放的 HFS 服务后，可以利用 CVE-2024-23692 漏洞安装恶意代码或劫持控制。



AhnLab 安全情报中心 (ASEC) 正在监控此漏洞的攻击，该攻击自漏洞公开以来已得到证实，推测是通过 HFS 2.3m 利用 CVE-2024-23692 漏洞进行的攻击，该版本用户较多，属于易受攻击的版本。



初始渗透后，攻击者通过 whoami 或 arp 等命令收集系统信息，随后添加后门账户和隐藏账户，用于安装恶意软件或通过远程桌面访问。在此过程之后，很多情况下 HFS 都会被终止，从而无法再被其他攻击者利用。

1. cmd /c "whoami"
   
2. arp -a
   
3. net user admin12 xiao9[제거]02.. /add
   
4. net user admin XIAOh[제거]22.. /add
   
5. net user tools Ad[제거]yq1 /add
   
6. net localgroup administrators tools /add
   
7. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v ad[제거] /t REG_DWORD /d 0
   
8. taskkill /f /im hfs.exe

复制代码

二、CoinMiner

最常用的恶意软件是 XMRig，挖门罗币虚拟货币，至少有 4 名攻击者正在攻击 HFS 以安装 CoinMiner。在这 4 名攻击者中，LemonDuck 是一位知名的攻击者。

LemonDuck 于 2019 年首次被发现，一直在利用各种漏洞来攻击管理不当的系统。最后安装的是 XMRig，但它的特点是 XenoRAT 和漏洞扫描器脚本安装在一起。

三、Backdoor

除了挖矿软件之外，还发现了许多 RAT 和后门类型的恶意软件。除了上面介绍的 XenoRAT 之外，攻击者经常使用的 RAT 恶意软件还包括 Gh0stRAT 和 PlugX，以及 CobaltStrike 和 Netcat。

在攻击中使用的恶意软件中，PlugX 是 BackDoor.PlugX.38 的变种，与过去的文章 “通过漏洞攻击分发的 PlugX 恶意软件” 中提到的类型相同。支持的命令最高为 “0xA”，支持的插件 “Disk”、”Nethood”、”Netstat”、”Option”、”PortMap”、”Process”、”RegEdit” 和 “Service”、”Shell”、”SQL”、”Telnet”、”KeyLog”、”Screen”、”ClipLog” 和 “RDP” 被排除。

四、GoThief

此外，还存在各种恶意软件的攻击案例，其中代表性的例子是 GoThief，它利用亚马逊的 AWS 窃取受感染系统的信息。它是用 Go 语言创建的，根据用于创建恶意软件的源代码路径 “E:/Thief/GoThief-main/main.go”，这里将其归类为 GoThief。



截屏后，GoThief 使用 Amazon S3 服务 (存储桶名称：imgdev) 传输截取的图像，并收集桌面上的文件信息、上传的屏幕截图、IP 地址等信息发送至另一台 C&C 服务器。

五、结论

近日，提供 Web 服务的 HFS 程序中的远程代码执行漏洞 CVE-2024-23692 被披露，随后针对 HFS 漏洞版本的攻击案例不断被证实。使用 HFS 时，它向不特定数量的用户开放，以便用户可以访问 HFS Web 服务器并下载文件，因此如果 HFS 存在漏洞，则可能成为外部攻击的目标。

如果你使用的是 HFS，请检查是否为漏洞版本，并修补至最新版本，以防止已知漏洞的攻击。另外，你应该小心，通过将 V3 更新到最新版本来提前防止恶意软件感染。

六、IoCs

MD5

• ce7dc5df5568a79affa540aa86b24773 : Gh0st RAT (2345.exe)
• 8f0071027d513867feb3eb8943ccaf05 : Gh0st RAT (systeminfo.exe)
• 77970a04551636cc409e90d39bbea931 : PlugX Loader (Roboform.dll)
• 6adaeb6543955559c05a9de8f92d1e1d : PlugX (Encoded) (WindowsWatcher.key)
• 4383b1ea54a59d27e5e6b3122b3dadb2 : GoThief (conost.exe)
  

C&C

• 154.201.87[.]185:999 : Gh0st RAT
• 164.155.205[.]99:999 : Gh0st RAT
• support.firewallsupportservers[.]com:80 / 443 / 53 / 8080 : PlugX
• hxxp://188.116.22[.]65:5000/submit : GoTheif
  

下载地址

• hxxp://121.204.249[.]123/2345.exe : Gh0st RAT
• hxxp://121.204.249[.]123:8077/systeminfo.exe : Gh0st RAT
• hxxp://185.173.93[.]167:13306/Roboform.dll : PlugX Loader
• hxxp://185.173.93[.]167:13306/WindowsWatcher.key : PlugX (Encoded)
  

wcxgo

学习了，准备护网。开始研究和使用

zer0daysec

wcxgo 发表于 2024-7-5 21:53
学习了，准备护网。开始研究和使用

可以