记一次Fake-POC投毒项目的追溯
本文为@天明师傅原创投稿,感谢分享!
0x01 前言
之前某一次写关于Vcenter漏洞文章的时候,了解了一个比较冷门的漏洞,CVE-2021-21980:VMware vCenter Server文件读取漏洞。
先是在nuclei-templates里面搜了一下,没找到有模版,就在github中搜了一下漏洞编号,找到了今天的主角:Osyanina/westone-CVE-2021-21980-scanner
https://github.com/Osyanina/westone-CVE-2021-21980-scanner
0x02 追溯过程
2.1、about和README信息分析
从项目的about信息来看,这是一个检测CVE-2021-21980漏洞的扫描器,这里没什么问题。
从项目的README信息来看,这个漏洞是VMware VCenter 及更早版本的未授权文件读取、SSRF和XSS漏洞。这里就很有问题了,从公开的360cert信息来看,CVE-2021-21980是一个文件读取漏洞,并不涉及SSRF和XSS。
具体链接:https://cert.360.cn/warning/detail?id=4d4d73e332ff08a42571f8cc7d6aa770
再说回这个README描述的漏洞信息,很明显是VMware vCenter - Server-Side Request Forgery/Local File Inclusion/Cross-Site Scripting。此处的漏洞名称参考nuclei-templates的信息。
在nuclei的poc中有一个referer的链接。https://github.com/l0ggg/VMware_vCenter,访问后正是该漏洞的详情,里面包含了漏洞的测试截图和POC:
到这里其实已经真相大白了,这个POC是一个假的POC,大概率是后门。
2.2、关于扫描exe的分析
下载可执行程序的exe,计算sha1值。
mimikatz@mimikatzdeMBP Downloads % shasum -a 1 CVE-2021-21980.exe
2ee2cdf0c6331e5422ec5fda9d8403686ca239e4 CVE-2021-21980.exevirustotal查杀结果:10/71
微步在线查杀结果:3/25
网络外联情况:
微步:
virustotal:
13.107.4.52
192.229.211.108
20.49.157.6
20.99.184.37
20.99.186.246
23.216.147.67
23.216.147.76
95.101.143.10
95.101.143.24
关注的时间重点放在2023年5月29日。
2.3、关于IP地址的追踪
2.3.1、13.107.4.52 - lockbit 3.0
在微步里面查询这个IP,有323个通信样本,老带恶人了。查看安全博客相关,发现了一篇与LockBit 3.0的勒索案例研究相关的文章提到了该IP地址。
查看文章发现在分析LockBit 3.0的时候发现该IP地址与勒索使用的Resume5.exe有网络连接的情况。
https://x.threatbook.com/v5/article?threatInfoID=41875
原文章:
https://blog.criminalip.io/2022/09/23/lockbit-3-0-ransomware/
时间是在2022年9月11日,而发现的时间是在2023年5月29日。这说明这玩意儿确实可能是LockBit 3.0的一个投毒的基础设施。
2.3.2、192.229.211.108-恶意
样本时间有2023年4月的,实锤属于恶意基础设施:
2.3.3、20.49.157.6
2.3.4、20.99.184.37-恶意
恶意基础设施+1:
2.3.5、20.99.186.246-恶意
2.3.6、23.216.147.67
2.3.7、23.216.147.76-MuddyWater组织
https://www.secrss.com/articles/51028
2.3.8、95.101.143.10
2.3.9、95.101.143.24-恶意
恶意样本通讯:
2.4、github账户追溯
类似案例:
从他的项目里面还发现了一个中文项目,判断应该是国人。
0x03 总结
从微步在线和virustotal的检测数据以及其他溯源博客等多个层面来看,该项目确实为投毒项目。希望大家能保护好自己吧,用项目之前尽量不使用打包成exe的项目,如要使用,建议virustotal和微步云沙箱中跑跑看,无外联后再做打算。