HTTP请求中提供一个布尔真值重置帐户密码(图)

要利用此漏洞,攻击者只需在自定义 HTTP 请求中提供一个布尔真值作为重置代码即可重置帐户密码。通过提供 truephp 获取目录下文件名, true 和重置代码字符串之间的比较结果为 true,即使这两个变量具有不同的类型。这有效地验证了攻击者的入站密码重置请求,允许攻击者随后更改密码。

为了修复版本 1.0.472 中的漏洞,开发人员在比较用户通过 HTTP POST 提供的重置代码的值时将上面的代码行更改为使用 === 而不是 =请求=。=== 和 == 之间的区别涉及 === 比较变量的值和值的类型,而不仅仅是值,就像 == 一样。为了演示差异,以下两个命令运行 PHP 代码以显示使用 == 将字符串代码与 true 进行比较会产生 truephp 获取目录下文件名,而使用 === 进行相同的比较会产生 false:

通过对 CVE-2021-32648 漏洞的分析,Palo Alto 为各种产品创建或增强了保护。

图片[1]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

恶意软件家族

该恶意软件家族于 2022 年 1 月 13 日首次被 确定为旨在删除和攻击目标文件的计算机网络攻击 (CNA) 恶意软件。它包含两个样本:一个似乎是勒索软件,另一个是用于传递内存中中间语言 (MSIL) 有效负载的信标投放器。内存代码使用 Off The Land 二进制文件 (Off The Land) 来逃避检测并执行反分析技术,因为当某些监控工具存在时,它会自动隐藏执行攻击。在撰写本文时,有两个已知样本被标识为:.exe 和 .exe。.exe 声称是勒索软件,因为它用 512 字节覆盖目标的主引导记录,并在重新启动时显示以下勒索说明:

图片[2]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

第一阶段产生的赎金票据

.exe 是一个信标释放器,它执行 HTTPS 连接以下载托管在内容交付网络 (CDN) 上的 JPG 文件。CDN 是一种用户创建的服务,允许用户在没有恶意的情况下托管附件。托管文件从以下 URL 获取:

hxxps://cdn.[.]com////.jpg

.jpg 文件是加载到内存中并启动攻击功能的恶意负载。以下活动模式与此有效负载相关联:

1.将文件.exe 复制到主机的%TEMP% 目录,例如C:Users[]\LocalTEMP。该文件是合法的二进制文件。

2. 的两个实例是使用编码命令生成的,以休眠 10 秒,例如 C:\\v1.0.exe” -enc ==。

3. 在 C:Users[]\LocalTemp 中创建一个名为:.vbs 的基本脚本 (VBS)。

4. .exe 用于执行步骤 3 中的 VBS 脚本。VBS 脚本调用将排除路径设置为 C:,例如 C:\ \v1.0 .exe”设置 – – ‘C:’。

5. .exe 已创建并写入 C:Users[]\LocalTemp 目录。

6. .exe 用于执行 .exe 删除和禁止命令。将以下命令参数发送到:

图片[3]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

7. 用于已删除的进程,例如 C:\\v1.0.exe rmdir ‘C:\\’ –

8. 文件 .exe 在 C:Users[]\LocalTemp 目录中运行。内存中的有效负载 (topbh .jpg) 在 .exe 进程的上下文中运行。

图片[4]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

9.cmd.exe的多个实例调用Ping.exe删除文件.exe,例如:cmd.exe /min /C ping 111.111.111[.]111 -n 5 -w 10 > Nul & Del /f /q %TEMP%.exe。

10. .exe 二进制文件从 C:Users[]\LocalTemp 目录中删除文件 .exe。

11. 到主机的 ICMP 流量:111.111.111[.]111;

12. 所有文件和目录,包括挂载的 USB 驱动器上的文件和目录,软盘驱动器 (A:) 除外。以下文件扩展名将被字节值 0xCC 覆盖。

目标文件扩展名

13. 大于 1 兆字节的目标文件在被覆盖时被截断为 1 兆字节。

14.经过以上操作,安全中心无法再提供病毒和威胁防护。

图片[5]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

病毒和威胁防护已被绕过

图片[1]-HTTP请求中提供一个布尔真值重置帐户密码(图)-4747i站长资讯

减轻

鼓励在 Build 472 和 v1.1.5 之前运行的组织更新到最新版本。此外,为了让攻击者利用此漏洞,Web 服务器运行的 PHP 必须低于 7.4。

Palo Alto 客户通过以下方式获得针对漏洞的保护:

1.发布威胁 ID 92199 以识别此漏洞

2.客户端可以使用一个策略来检测面向互联网的实例;

Palo Alto 客户通过以下方式获得针对恶意软件系列的保护:

1. 适当地将样本识别为恶意样本;

2.所有观察到的恶意URL都被标记为恶意;

3. XDR 使用基于机器学习的本地分析、行为威胁防护模块和勒索软件防护模块来阻止该恶意软件系列的执行。

XSOAR “& CVE-2021-32648” 包可以帮助自动检测和缓解这两种威胁,可以在此处找到有关 XSOAR 的更多信息。

文章来源:https://www.163.com/dy/article/GUG6D3IC0511CJ6O.html

------本页内容已结束,喜欢请分享------

感谢您的来访,获取更多精彩文章请收藏本站。

© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片