最后更新于 Thu, 07 Sep 2023 14:02:21 GMT

Tyler Starks、Christiaan Beek、Robert Knapp、Zach Dayton 和 Caitlin Condon 对本博客有报道贡献。

Rapid7 的受管检测和响应 (MDR) 团队观察到针对思科 ASA 老王apk 设备(物理和虚拟)的威胁活动有所增加,至少可追溯到 2023 年 3 月。 在某些情况下,对手利用弱密码或默认密码进行凭证填充攻击;在其他情况下,我们观察到的活动似乎是对 ASA 设备进行有针对性的暴力破解攻击的结果,在这些设备上,多因素身份验证 (MFA) 要么未启用,要么未对所有用户强制执行(即通过 MFA 旁路组)。 我们的管理服务团队处理过的几起事件中,Akira 和 LockBit 小组都部署了勒索软件。

目标组织或垂直行业之间没有明显的模式。 受害组织的规模各不相同,涉及医疗保健、专业服务、制造、石油和天然气以及其他垂直行业。 我们在本博客中列出了入侵指标(IOC)和攻击者行为观察结果,以及实用建议,以帮助企业加强安全态势,防范未来的攻击。请注意:Rapid7 没有发现任何绕过或逃避正确配置的 MFA 的情况。

在调查过程中,Rapid7 一直积极与思科公司合作。 8 月 24 日,思科的产品安全事故响应小组 (PSIRT)发表博客概述了他们观察到的攻击策略,其中许多策略与 Rapid7 的观察重叠。 我们感谢思科公司的合作和分享信息以保护用户的意愿。

老王apk

Rapid7 发现至少有 11 名客户在 2023 年 3 月 30 日至 8 月 24 日期间遭遇了与 Cisco ASA 相关的入侵。 我们的团队将恶意活动追溯到为远程用户提供 老王apk 服务的 ASA 设备。 ASA 设备的补丁在不同的被入侵设备上各不相同 - Rapid7 没有发现任何特定版本特别容易被利用。

在我们对这些入侵的分析中,Rapid7 在观察到的 IOC 中发现了多个重叠区域。 Windows 客户端名称win-r84deue96rb往往与威胁行为者的基础设施相关联,以及 IP 地址176.124.201[.]200162.35.92[.]242. 我们还发现用于验证内部系统的账户存在重叠,包括使用以下账户测试, 思科, 扫描仪,以及打印机. 用户域账户也被用于成功验证内部资产--在一些情况下,攻击者第一次尝试就成功验证,这可能表明受害者账户使用的是弱凭据或默认凭据。

下图是攻击者尝试登录 Cisco ASA 老王apk 服务(失败)的匿名日志条目。 在对不同事件响应案例的日志文件进行分析时,我们经常观察到失败的登录尝试在几毫秒内相继发生,这表明存在自动攻击。

老王apk

在我们调查的大多数事件中,威胁行为者都试图使用一套通用的用户名登录 ASA 设备,其中包括

  • 管理员
  • adminadmin
  • 备份管理员
  • 钾肥
  • 思科
  • 来宾
  • 会计
  • 开发人员
  • ftp 用户
  • 培训
  • 测试
  • 打印机
  • 回响
  • 安全
  • 调查员
  • 测试测试
  • snmp

以上是一个相当标准的账户列表,可能表明使用了暴力破解工具。 在某些情况下,登录尝试中的用户名属于实际的域用户。 虽然我们没有泄漏受害者凭据的具体证据,但我们知道可以通过以下路径尝试暴力破解 Cisco ASA 服务+CSCOE+/logon.htm. VPN 组名在 VPN 端点登录页面的源代码中也是可见的,很容易被提取出来,这有助于暴力破解攻击。

在成功验证内部资产后,威胁行动者部署了set.bat. 执行set.bat结果安装并执行了远程桌面应用程序 AnyDesk,密码设置为greenday#@!. 在某些情况下、nd.exe系统上执行,以转储NTDS.DIT以及 SAM 和 SYSTEM 蜂巢,这可能会使敌方获得更多的域用户凭据。 威胁分子在目标环境中的其他系统上进一步横向移动和执行二进制文件,以扩大入侵范围。 如前所述,其中几次入侵最终部署并执行了与 Akira 或 LockBit 相关的勒索软件二进制文件。

老王apk

#@#In parallel with incident response investigations into ASA-based intrusions, Rapid7 threat intelligence teams have been monitoring underground forums and Telegram channels for threat actor discussion about these types of attacks. In February 2023, a well-known initial access broker called “Bassterlord” was observed in XSS forums selling a guide on breaking into corporate networks. The guide, which included chapters on 老王apk brute forcing, was being sold for ,000 USD.#@#

当其他几个论坛开始泄露该指南的信息时,Bassterlord 在 Twitter 上发布了关于转向内容租赁模式而非批发销售指南的消息:

老王apk

Rapid7 获得了一份泄露的手册副本,并对其内容进行了分析。 值得注意的是,作者声称他们已利用用户名/密码组合入侵了 4865 个思科 老王apk 服务和 9870 个 老王apk 服务测试:测试none

老王apk

老王apk

Rapid7 发现以下 IP 地址与被入侵内部资产的源验证事件以及 AnyDesk 的出站连接相关联:

  • 161.35.92.242
  • 173.208.205.10
  • 185.157.162.21
  • 185.193.64.226
  • 149.93.239.176
  • 158.255.215.236
  • 95.181.150.173
  • 94.232.44.118
  • 194.28.112.157
  • 5.61.43.231
  • 5.183.253.129
  • 45.80.107.220
  • 193.233.230.161
  • 149.57.12.131
  • 149.57.15.181
  • 193.233.228.183
  • 45.66.209.122
  • 95.181.148.101
  • 193.233.228.86
  • 176.124.201.200
  • 162.35.92.242
  • 144.217.86.109

观察到进行暴力尝试的其他 IP 地址:

  • 31.184.236.63
  • 31.184.236.71
  • 31.184.236.79
  • 194.28.112.149
  • 62.233.50.19
  • 194.28.112.156
  • 45.227.255.51
  • 185.92.72.135
  • 80.66.66.175
  • 62.233.50.11
  • 62.233.50.13
  • 194.28.115.124
  • 62.233.50.81
  • 152.89.196.185
  • 91.240.118.9
  • 185.81.68.45
  • 152.89.196.186
  • 185.81.68.46
  • 185.81.68.74
  • 62.233.50.25
  • 62.233.50.17
  • 62.233.50.23
  • 62.233.50.101
  • 62.233.50.102
  • 62.233.50.95
  • 62.233.50.103
  • 92.255.57.202
  • 91.240.118.5
  • 91.240.118.8
  • 91.240.118.7
  • 91.240.118.4
  • 161.35.92.242
  • 45.227.252.237
  • 147.78.47.245
  • 46.161.27.123
  • 94.232.43.143
  • 94.232.43.250
  • 80.66.76.18
  • 94.232.42.109
  • 179.60.147.152
  • 185.81.68.197
  • 185.81.68.75

上述许多 IP 地址由以下提供商托管:

  • Chang Way Technologies Co. 有限公司
  • Flyservers S.A.
  • none
  • NFOrce Entertainment B.V.
  • VDSina 托管

基于对数的指标:

  • 尝试使用无效的用户名和密码组合登录 (%ASA-6-113015)
  • 为意外配置文件/TGs 创建 RAVPN 会话(尝试)(%ASA-4-113019、%ASA-4-722041、%ASA-7-734003)

老王apk

作为Rapid7 年中威胁审查注意到了占所有事件的近 40在 2023 年上半年,我们的管理服务团队所应对的许多事件都是由于 VPN 或虚拟桌面基础架构缺乏 MFA 所造成的。 这些事件进一步说明,使用弱凭据或默认凭据的情况仍然很普遍,而且由于企业网络中的 MFA 执行不严格,凭据通常得不到保护。

为了降低本博客中概述的攻击者行为的风险,组织应该

  • 确保默认账户已被禁用或密码已从默认值重置。
  • 确保在所有 VPN 用户中执行 MFA,尽可能限制该政策的例外情况。
  • 启用 VPN 日志: 思科有专门针对 ASA 的相关信息这里以及从 ASA 设备中收集法证证据的指南这里.
  • 监控 VPN 日志,查看是否有员工在预期地点之外尝试进行身份验证。
  • 监控 VPN 日志,查看验证失败的情况,寻找暴力破解和密码喷涂模式。
  • 作为最佳实践,及时更新 VPN、虚拟桌面基础架构和其他网关设备的安全问题补丁。

Rapid7 正在监控 MDR 客户的异常身份验证事件以及暴力破解和密码喷涂迹象。 对于 InsightIDR 和 MDR 客户,部署了以下非详尽的检测规则列表,并对与本博客中攻击模式相关的活动发出警报:

  • 攻击者技术 - NTDS 文件访问
  • 攻击者工具 - 防弹衣横向移动
  • SoftPerfect Network Scanner 生成的进程
  • 从程序数据根执行

各种来源最近已发表的作品指出,勒索软件组织似乎正在以思科 VPN 为目标来访问企业网络。 Rapid7 强烈建议阅读本博客和以下网站中的 IOC 和相关信息思科 PSIRT 博客并采取行动加强 VPN 实施的安全态势。

老王apk

9 月 6 日,思科发表咨询意见CVE-2023-20269 是一个影响 ASA 和 Firepower Threat Defense 远程访问 VPN 的未授权访问漏洞。 根据该公告,CVE-2023-20269 是由于远程访问 VPN 功能与 HTTPS 管理和站点到站点 VPN 功能之间的验证、授权和记账(AAA)分离不当造成的。 成功利用该漏洞后,未经身份验证的远程攻击者可进行暴力攻击,试图识别有效的用户名和密码组合,或经身份验证的远程攻击者可与未经授权的用户建立无客户端 老王apk 会话。

CVE-2023-20269 正在被广泛利用,与 Rapid7 在本博客中观察到和概述的某些行为有关。 思科 ASA 和 FTD 的软件更新正在等待中。 与此同时,思科在他们的咨询.