攻击者利用三年前的 Telerik 漏洞部署 Cobalt Strike

据BleepingComputer网站6月15日消息，攻击一个被称为“Blue Mockingbird”的用年攻击者针对 Telerik UI 漏洞来破坏服务器 ，安装 Cobalt Strike 信标
，洞部并通过劫持系统资源来挖掘 Monero
。攻击

攻击者利用的用年漏洞是 CVE-2019-18935，这是洞部一个严重的反序列化漏洞 ，CVSS v3.1评分高达 9.8 ，攻击可导致在 Telerik UI 库中远程执行 ASP.NET AJAX 的高防服务器用年代码。

在2020年5月 ，洞部Blue Mockingbird就曾使用同样的攻击手法攻击Microsoft IIS 服务器，而此时距供应商提供安全更新已经过去了一年  ，用年可见该漏洞已被该攻击者反复利用，洞部屡试不爽 。攻击

要利用 CVE-2019-18935漏洞  ，用年攻击者必须获得保护目标上Telerik UI序列化的洞部加密密钥 ，这可通过利用目标 Web 应用程序中的另一个漏洞或使用 CVE-2017-11317 和 CVE-2017-11357 来实现
 。源码库一旦获得密钥，攻击者就可以编译一个恶意 DLL ，其中包含要在反序列化期间执行的代码，并在“w3wp.exe”进程的上下文中运行。

Blue Mockingbird 最近的攻击链

在由网络安全公司Sophos最近发现的这起攻击事件中 ，Blue Mockingbird采用了一个现成的概念验证（PoC）漏洞，能够处理加密逻辑并自动进行DLL编译 ，建站模板其使用的有效载荷是 Cobalt Strike 信标
，这是一种隐蔽的、合法的渗透测试工具 ， Blue Mockingbird 以此滥用来执行编码的 PowerShell 命令。

Cobalt Strike 信标配置

为了实现持久性，攻击者通过 Active Directory 组策略对象 (GPO) 建立，亿华云它创建计划任务 ，该计划任务写入包含 base64 编码的 PowerShell 的新注册表项中 。

该脚本使用常见的 AMSI 绕过技术来规避 Windows Defender 检测 ，以将 Cobalt Strike DLL 下载并加载到内存中。

第二阶段的可执行文件（crby26td.exe）是一个 XMRig Miner ，一个标准的开源加密货币矿工，香港云服务器用于挖掘 Monero，这是最难追踪的加密货币之一
。

Cobalt Strike 的部署为在受感染的网络内轻松横向移动 、进行数据泄露、帐户接管以及部署更强大的有效负载（如勒索软件）开辟了道路。

参考来源 ：https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/