JSP Webshells IOCs

security IOC

CISA опубликовала отчеты о различных вредоносных веб-оболочках JSP (и одном файле bash), обнаруженных на серверах Zimbra.


Все образцы были подтверждены как вредоносные, с различными возможностями. Шесть файлов веб-оболочки JSP предназначены для анализа входящих запросов на команды для выполнения, загрузки файлов и выгрузки файлов. Один файл JSP webshell содержит форму с полями ввода, которая предлагает злоумышленнику ввести команду в поле ввода и нажать кнопку "run" для выполнения. Вывод команды будет отображен на странице JSP. Файл bash предназначен для выполнения запросов ldapsearch и сохранения результатов во вновь созданной директории. Наконец, один JSP-файл представляет собой код на стороне сервера, который позволяет удаленно выполнять команды и загружать файлы на цель.
Рекомендации CISA для пользователей и администраторов серверов Zimbra можно найти в конце каждой статьи со ссылками.

Indicators of Compromise

MD5

  • 0751fbc32ada4ded129a15a0d1ea0459
  • 2847c3be246be1dfd49789ebbffd5553
  • 36cfcfb4e6988caf8e449a7f26c92eae
  • 55e51e8ceda717813a5223a8c99a8830
  • 6f1c2dd27e28a52eb09cdd2bc828386d
  • 7153cfe57d2df499175aced7e92bcf65
  • 91de296c801db00a24a2832b5e12d345
  • ab28345b8aba13ae82f8bc0694f15804
  • e146561122214f67eb35c52758a21fa5

SHA1

  • 010aee65009b9faeb3a4e24ca777d3aaa51b0bd3
  • 275774dbfc8c1e8a95dcd2f0d589db1ab369eb01
  • 515451cea6e3550df74f54eb4d6f1706de100a3f
  • 6c484d46637cb3a9c4a5f0b42bff388c7b550b6d
  • a1e0297b1195fad89eb500d43e860c3beae90840
  • af9bc7ef25755982a00aca920ee7ad51f76c5cc2
  • b2c45a12c6ead4d9dc9902a93c2e1e45c20a16d9
  • cd2e32eab50da45f747a02cacaa8f91da8d3da98
  • e8262b4808896297366d87fb0d88fa7292f532fa

SHA256

  • 28b7896bf81c5bcbe63c59ee7bfce3893894d93699949f59884834077694bd52
  • 6dee4a1d4ac6b969b1f817e36cb5d36c5de84aa8fe512f3b6e7de80a2310caea
  • 9d2a842e7a39358adc68311dcc0bc550ba375eae7513a3d4de326e948d09c245
  • bc5b1f588cd506a69c03a7980a363846fa474b78e6946fa90e58d735c65f2bb6
  • c24ead55e58422365f034d173bb0415c16be78928b2843ef8f6f62feb15e1553
  • c602db153f48ab6580e5e85925677780c3d5a483c66c392a8ab8265aa108a409
  • c8c1a0fae73b578480b15ff552499c271a1b49f7af2fb9fc7f8adaa4e984f614
  • d335d7e3a0ac77e132e9ea839591fa81f67cd8eef136ec6586a1d6b1f29e18f1
  • ffb0f637776bc4cfcf5a24406ebf48fc21b9dcec68587a010f21b88250bda195
SEC-1275-1
Добавить комментарий