本文为
@天明
师傅原创投稿,感谢分享!
![]()
0x01 前言
之前某
一次写关于
Vcenter漏洞文章的时候,了解了一个比较冷门的漏洞,CVE-2021-21980:VMware vCenter Server文件读取漏洞。
先是在nuclei-templates里面搜了一
下,没找到有模版,就在github中搜了一下漏洞编号,找到了今天的主角:Osyanina/westone-CVE-2021-21980-scanner
0x02 追溯过程
从项目的about信息来看,这是一个检测CVE-2021-21980漏洞的扫描器,这里没什么问题。
从项目的README信息来看,这个漏洞是VMware VCenter 及更早版本的未授权文件读取、SSRF和XSS漏洞。这里就很有问题了,从公开的360cert信息来看,CVE-2021-21980是一个文件读取漏洞,
并不涉及SSRF和XSS
。
具体链接
:
https://cert.360.cn/warning/detail?id=4d4d73e332ff08a42571f8cc7d6aa770
再说回这个README描述的漏洞信息,很明显是VMware vCenter - Server-Side Request Forgery/Local File Inclusion/Cross-Site Scripting。此处的漏洞名称参考nuclei-templates的信息。
在nuclei的poc中有一个referer的链接。
https://github.com/l0ggg/VMware_vCenter
,访问后正是该漏洞的详情,里面包含了漏洞的测试截图和POC:
到这里其实已经真相大白了,这个POC是一个假的POC,大概率是后门。
2.2、关于扫描exe的分析
下载可执行程序的exe,计算sha1值。
mimikatz@mimikatzdeMBP Downloads % shasum -a 1 CVE-2021-21980.exe2ee2cdf0c6331e5422ec5fda9d8403686ca239e4 CVE-2021-21980.exe
微步在线查杀结果:3/25
网络外联情况:
微步:
virustotal:
13.107.4.52192.229.211.10820.49.157.620.99.184.3720.99.186.24623.216.147.6723.216.147.7695.101.143.1095.101.143.24
关注的时间重点放在2023年5月29日。
2.3、关于IP地址的追踪
2.3.1、13.107.4.52 - lockbit 3.0
在微步里面查询这个IP,有323个通信样本,老带恶人了。查看安全博客相关,发现了一篇与LockBit 3.0的勒索案例研究相关的文章提到了该IP地址。
查看文章发现在分析LockBit 3.0的时候发现该IP地址与勒索使用的Resume5.exe有网络连接的情况。
https://x.threatbook.com/v5/article?threatInfoID=41875
https://blog.criminalip.io/2022/09/23/lockbit-3-0-ransomware/
时间是在2022年9月11日,而发现的时间是在2023年5月29日。这说明这玩意儿确实可能是LockBit 3.0的一个投毒的基础设施。
2.3.2、192.229.211.108-恶意
样本时间有2023年4月的,实锤属于恶意基础设施:
2.3.3、20.49.157.6
2.3.4、20.99.184.37-恶意
恶意基础设施+1:
2.3.5、20.99.186.246-恶意
2.3.6、23.216.147.67
2.3.7、23.216.147.76-MuddyWater组织
https://www.secrss.com/articles/51028
2.3.8、95.101.143.10
恶意样本通讯:
2.4、github账户追溯
类似案例:
从他的项目里面还发现了一个中文项目,判断应该是国人。
0x03 总结
