Best hafnium china chopper Update New

You are viewing this post: Best hafnium china chopper Update New

Neues Update zum Thema hafnium china chopper


Hafnium’s China Chopper: a ‘slick’ and tiny web shell for … Update

15/03/2021 · Due to the renewed interest in Hafnium, on Monday, Trustwave published an analysis of one of the group’s tools, China Chopper, which is a web shell widely used for post-exploitation activities. The…

+ Details hier sehen

Read more

Forscher haben Einblick in China Chopper gegeben, eine Web-Shell, die von der staatlich geförderten Hafnium-Hacking-Gruppe verwendet wird

Hafnium ist eine aus China stammende Gruppe von Cyberangreifern

Das Kollektiv geriet kürzlich ins Rampenlicht, weil Microsoft es mit jüngsten Angriffen in Verbindung brachte, bei denen vier Zero-Day-Schwachstellen – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 – ausgenutzt wurden Microsoft Exchange Server

Microsoft sagt, dass Hafnium dazu neigt, Ziele in den Vereinigten Staaten anzugreifen, wobei der Schwerpunkt auf Branchen wie Verteidigung, Forschung, Recht und Hochschulbildung liegt

Obwohl angenommen wird, dass die Gruppe in China ansässig ist, verwendet sie geleaste virtuelle private Server (VPS) in den USA

Aufgrund des erneuten Interesses an Hafnium veröffentlichte Trustwave am Montag eine Analyse eines der Tools der Gruppe, China Chopper, einer Web-Shell, die häufig für Post-Exploitation-Aktivitäten verwendet wird

Die Web-Shell wurde im Zusammenhang mit Exchange Server entdeckt Angriffe neben der Bereitstellung von DearCry-Ransomware

China Chopper ist nicht neu und seit mindestens einem Jahrzehnt in freier Wildbahn

Die winzige Web-Shell – mit nur vier Kilobyte (.PDF) – enthält zwei Schlüsselkomponenten; eine Web-Shell-Command-and-Control (C2)-Client-Binärdatei und eine textbasierte Web-Shell-Nutzlast, die Serverkomponente

„Die textbasierte Nutzlast ist so einfach und kurz, dass ein Angreifer sie direkt auf dem Ziel von Hand eingeben könnte Server — keine Dateiübertragung erforderlich”, stellt das Team fest

FireEye nennt das Tool eine “raffine kleine Web-Shell, die nicht genug Aufmerksamkeit und Anerkennung für ihre Tarnung erhält”

Es gibt verschiedene Varianten von China Chopper in freier Wildbahn, die in verschiedenen Sprachen geschrieben sind – wie ASP, ASPX, PHP, JSP und CFM – aber alle haben ähnliche Funktionen

Die Variante Active Server Page Extended (ASPX) ist, sobald sie beispielsweise auf einem Server landet, der bereits über einen Exploit kompromittiert wurde, normalerweise nicht mehr als eine Codezeile

Red Canary weist darauf hin, dass die. aspx-Web-Shell-Namen im Allgemeinen erfunden sind aus acht zufälligen Zeichen.

Bei der Untersuchung eines Beispiels von China Chopper beschreibt Trustwave, wie das Skript bei einer HTTP-POST-Anforderung die „eval“-Funktion aufruft, um die Zeichenfolge in einer POST-Anforderungsvariablen auszuführen.

„Die POST-Anforderungsvariable ist namens „secret“, was bedeutet, dass jedes JScript, das in der „secret“-Variablen enthalten ist, auf dem Server ausgeführt wird“, sagen die Forscher

“JScript ist als aktive Skript-Engine implementiert, die es der Sprache ermöglicht, ActiveX-Objekte auf dem Client zu verwenden, auf dem sie ausgeführt wird

Dies kann und wird von Angreifern missbraucht, um Reverse-Shells, Dateiverwaltung, Prozessausführung und vieles mehr zu erreichen.”

Eine Client-Komponente von China Chopper wird normalerweise auf dem System eines Angreifers gehostet, um die Kommunikation zu erleichtern, die für Aufgaben wie das Ausführen eines virtuellen Terminals zum Starten von Befehlen basierend auf cmd.exe, das Herunterladen von Dateien und das Ausführen anderer bösartiger Skripte verwendet werden kann

Die Forscher stellte auch entsprechende. NET-DLLs für China Chopper fest, die von der ASP.NET-Laufzeit auf kompromittierten Servern generiert wurden Verwendung dieser beliebten Web-Shell in der Vergangenheit

Red Canary hat auch eine Gruppe von Microsoft Exchange Server-Angriffen identifiziert, die auf der Verwendung dieser Hintertür aufbauen

Als „Sapphire Pigeon“ bezeichnet, werden mehrere Web-Shells zu unterschiedlichen Zeiten auf kompromittierten Servern abgelegt – und in einigen Fällen Tage vor Beginn der Post-Exploit-Aktivitäten Laut Microsoft bleiben mindestens 82.000 Server ungepatcht

Letzte Woche gab Check Point Research bekannt, dass sich die Angriffsrate, die die Sicherheitslücken ausnutzt, alle zwei bis drei Stunden verdoppelt hat

Frühere und verwandte Berichterstattung

Haben Sie einen Tipp? Treten Sie sicher per WhatsApp in Kontakt | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0

HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update New

Video unten ansehen

Weitere hilfreiche Informationen im Thema anzeigen hafnium china chopper

If you would like to support the channel and I, check out Kite! Kite is a coding assistant that helps you code faster, on any IDE offer smart completions and documentation. https://www.kite.com/get-kite/?utm_medium=referral\u0026utm_source=youtube\u0026utm_campaign=johnhammond\u0026utm_content=description-only (disclaimer, affiliate link)
For more content, subscribe on Twitch! https://twitch.tv/johnhammond010
If you would like to support me, please like, comment \u0026 subscribe, and check me out on Patreon: https://patreon.com/johnhammond010
PayPal: https://paypal.me/johnhammond010
E-mail: [email protected]
Discord: https://johnhammond.org/discord
Twitter: https://twitter.com/_johnhammond
GitHub: https://github.com/JohnHammond

hafnium china chopper Einige Bilder im Thema

 Update New  HAFNIUM - Post-Exploitation Analysis from Microsoft Exchange
HAFNIUM – Post-Exploitation Analysis from Microsoft Exchange Update New

Analyzing Attacks Against Microsoft Exchange Server … Update New

Updating

+ ausführliche Artikel hier sehen

Read more

Dieser Beitrag ist auch verfügbar in: 日本語 (Japanisch)

Zusammenfassung

Microsoft hat kürzlich Patches für eine Reihe von Zero-Day-Schwachstellen in Microsoft Exchange Server veröffentlicht, die von HAFNIUM, einer mutmaßlich staatlich geförderten Gruppe, die von China aus operiert, aktiv ausgenutzt werden

Wir geben einen Überblick über die China Chopper-Webshell, eine Hintertür, die bei diesen Angriffen abgeworfen wurde

Wir analysieren auch zufällige Artefakte wie Metadaten, die durch die Angriffe selbst erstellt wurden, die es uns ermöglichen, Informationen zu sammeln und die Art und Methodik der Angreifer besser zu verstehen

Informationen darüber, wie Palo Alto Networks seine Kunden vor diesen Bedrohungen schützt, finden Sie unter zu unserem Threat Assessment: Active Exploitation of Four Zero-Day Vulnerabilities in Microsoft Exchange Server

Die Rolle der China Chopper Webshell

Durch Ausnutzung von CVE-2021-27065, einer Sicherheitsanfälligkeit für willkürliches Schreiben von Dateien nach der Authentifizierung, ist ein Angreifer in der Lage, Code effektiv in eine ASPX-Seite für das Exchange Offline Address Book (OAB) einzufügen

Wenn diese Seite mit der injizierten Webshell kompiliert wird, kann der Angreifer anderen Code senden und sich weiteren Zugriff verschaffen

Die China Chopper-Webshell ist ein einfaches, einzeiliges Skript, das bei diesen Angriffen durch die Verwendung des PowerShell-Cmdlets Set-OabVirtualDirectory gelöscht wird

Diese einzeilige Webshell ist aus Serversicht relativ einfach und wurde mindestens seit 2013 bei Angriffen beobachtet, als FireEye darüber berichtete

Das entscheidende Detail hier ist, dass die China Chopper-Webshell in eine bereits vorhandene OAB-ASPX-Seite injiziert wird die Konfigurationsinformationen enthält, die nichts mit der Webshell zu tun haben

Es wurde berichtet, dass es Tausende von Kompromittierungen gibt, und jeder lokale Exchange-Server, der dem Internet ausgesetzt ist, sollte davon ausgehen, dass er mehrmals gescannt wurde

Mit diesem Wissen und dem Wissen, dass Tausende von Unternehmen diese Woche damit begonnen haben, auf diese Angriffe innerhalb ihrer Infrastruktur zu reagieren, dauerte es nicht lange, bis diese OAB-Dateien auf VirusTotal (VT) auftauchten

Um das spezifische OAB zu identifizieren Konfigurationsdateien, an denen wir interessiert sind, habe ich eine kleine YARA-Regel erstellt, um einige der beobachteten Vorlagen für die China Chopper-Webshell zu identifizieren, wie sie in OAB-Konfigurationen vorhanden sind.

Regel webshell_chinachopper_oab {meta: author = “Jeff White (Palo Alto Networks) @noottrak” date = “02MAR2021” hash01 = “e8ea17cd1de6d3389c792cce8c0ff1927a6386f0ef32ab0b097763de1f86ffc8” hash02 = “34f9944a85ffba58f3fa60c5dc32da1ce6743dae261e1820ef6c419808757112” hash03 = “55fbfab29f9d2c26f81f1ff901af838110d7f76acc81f14b791a8903aa8b8425” hash04 = “6e75bbcdd22ec9df1c7796e381a83f88e3ae82f5698c6b31b64d8f11e9cfd867” Strings: // OAB-Datei Detect $OAB01 = “ExternalUrl” ascii // Enthält Webshell $OAB02 = “InternalUrl” ascii $OAB03 = “ExchangeVersion” ascii $OAB04 = “WhenChangedUTC” ascii // Erkenne eingefügte URL-Varianten $HTTP01 = “http://f/” ascii nocase $HTTP02 = “http://g/” ascii nocase $HTTP03 = “http://p/” ascii nocase // ChinaChopper-Varianten erkennen $websh01 = “