最近，一个名为 Zerologon 的严重漏洞–CVE-2020-1472–已成为全球范围内的趋势主题。

此漏洞将使您在内部网络中立足的恶意代理实质上只需单击一下即可成为 Domain Admin。从攻击者的角度来看，与域控制器进行通信时，这种情况是可能的。

尽管与内部网络和域控制器的通信只能在 Intranet 上进行，但是许多网络的策略薄弱且基于网络隔离和分段的体系结构很差，例如，这允许位于 DMZ 的 Web 服务器也可以与内部网络资产和域控制器进行内部通信。详细地讲，网络分段涉及将网络划分为较小的网络。而网络隔离涉及制定和执行规则集来控制特定的主机和服务之间的通信。

为了利用这些潜在的漏洞，外部代理滥用了 File-Manager 插件中的漏洞–CVE-2020-25213，该漏洞允许在服务器端执行任意代码（RCE 漏洞）。从黑盒开发到域控制器哈希的 NTFS 流程图，其通过 CVE-2020-25213 和 CVE-2020-1472 转储。

根据 WordFence 的数据，到 2020 年 9 月 4 日，记录到超过 170 万个站点受到攻击，而到 2020 年 9 月 10 日，受攻击的站点总数已超过 260 万。同时，影响 WP-Manager WordPress 插件的 CVE-2020-25213 仍被犯罪分子利用。

据安全研究人员称：“我已经为项目作者发送了易受攻击的插件的文章和 POC，但没有得到任何回应，我的私人帖子也被删除了。elFinder.py 问题是互联网上存在许多脚本的常见漏洞，我的脚本仅更改为 “wp-content” 路径。


使用漏洞利用后，可以在执行易受攻击的 WordPress 网站的服务器上执行 Web Shell。下面的请求演示了如何执行此攻击。

从 Web 服务器（/ etc / passwd 文件）中提取的数据和远程 Shell 可以用来利用这种情况。


从这里开始，建立远程高特权外壳可能很容易。几个威胁小组滥用了此漏洞，以便在内部网络上建立最初的立足点并进行横向移动。
犯罪分子如何滥用此漏洞

从最后几天开始，SI-LAB 观察到罪犯在更多样化的情况下滥用了此漏洞，即：

    要传播网络钓鱼活动，请在野外传播恶意软件；
    植入后门以窃取数据，信用卡信息或敏感信息（PII）；
    在特定页面（例如，index.php）内的源代码中添加 cryptominers（java 脚本）；和
    升级内部网络并滥用 Zerologon 漏洞攻击域控制器。

在分析某些受到威胁的系统时，SI-LAB 收集了以下描述和说明的一些恶意植入物。


详细地， 安装并分析了所有 WordPress 模板的每个 header.php 文件（图 5），添加了图 4 中所示的 cryptominer。请注意，整个恶意链都是由威胁作者自动完成的：“ 2020 年 9 月 10 日，受攻击的站点总数已增加到 260 万以上，WordFence 说。


在其他系统中，发现了其他类型的脚本，即 webshell 和 SMTP 发件人，以利用社交工程活动（图 6）。


还观察到了 Autopwn 脚本 - 这证实了骗子已使勘探过程实现了自动化。


其他有趣的植入方法（也由 WordFence 记录）涉及到受感染系统中添加的一段代码，当在 WordPress 面板中进行用户身份验证时，该代码实质上将用户的凭据发送到由罪犯管理的 Telegram 通道。


在分析的网站上（葡萄牙）可能确定的威胁作者与 WordFence 确定的威胁有关。

根据 WordFence 的说法，“如果您的网站已被 “ bajatax” 威胁因素破坏，那么至关重要的是，在与所有用户联系之前，先彻底清理网站，并告知他们其凭据可能已经受到损害，尤其是在运行时一个电子商务网站。

在其他更具体的情况下，也注意到一些威胁行为者使用此漏洞来利用 Zerologon 漏洞。在最初的立足点之后，并且当存在较差的网络分段时，可能会基于枢轴攻击在网络上进行横向移动。

以受损的机器为中心，利用 Doman Controller 是真实的，并且组织可能会遭受这种情况的巨大损失。破坏域控制器就像破坏计算机网络一样。

此外，还可以从域控制器中窃取 NTLM 哈希值（包括域管理员哈希值），并通过传递哈希攻击访问在该域中注册的所有计算机。python3cve-2020-1472-exploit.py DOMAIN_NAME 192.168 .x.x 执行身份验证尝试… 目标易受攻击者，将帐户密码更改为空 stringResult：0 漏洞利用完成！


Zerologon 一直是最近几天的热门话题，因此，其他媒介也很少受到关注。由于可以在整个分析过程中进行分析，犯罪分子利用了网络漏洞，在这种情况下，与 WordPress WP-Manager 插件关联的 CVE-2020-25213 在内部网络中获得了特权外壳。

已经通过横向移动进行了网络侦察，使用 Zerologon 识别并探索了域控制器。此漏洞很严重，并且基于加密漏洞，可以将帐户计算机密码更改为空。


最后，然后可以远程提取域控制器 NTML 哈希。请注意，必须快速恢复机器密码，否则 DC 将不会同步，这可能会中断网络。

Cynet 还发布了一些关键工件的详细信息，这些工件可用于检测对漏洞的主动利用，包括 lsass.exe 内存中的特定内存模式以及 lsass.exe 之间的流量异常高峰。

Windows服务器

“记录最完整的工件是 Windows 事件 ID 4742’计算机帐户已更改’，通常与 Windows 事件 ID 4672’分配给新登录的特殊特权’结合在一起。”

为了让 Windows Server 用户快速检测到相关攻击，专家还发布了 YARA 规则，该规则可以检测在部署之前发生的攻击，而对于实时监视，还可以下载一个简单的工具。

但是，要完全解决此问题，用户仍然建议尽快安装 Microsoft 的最新软件更新。

Pedro Tavares 是信息安全领域的专家，曾担任道德黑客，恶意软件分析师，网络安全分析师以及安全宣传员。他还是 CSIRT.UBI 的创始成员，也是安全计算机博客 seguranca-informatica.pt 的总编辑。