JexBoss Framework IOCs

security

JBoss Verify and EXploitation tool (JexBoss) - это инструмент с открытым исходным кодом, используемый командами кибербезопасности (иногда называемыми "красными командами") и аудиторами для проведения авторизованных оценок безопасности. Угрозы используют этот инструмент для тестирования и эксплуатации уязвимостей в JBoss Application Server (JBoss AS) - теперь WildFly - и различных Java-приложениях и платформах. JexBoss автоматизирует все этапы кибератаки, что делает его мощным и простым в использовании оружием в кибер-арсенале угроз.

JexBoss

JexBoss- это инструмент, используемый для тестирования и эксплуатации уязвимостей в Java-приложениях и платформах, включая фреймворк веб-сервера JBoss AS/WildFly. JexBoss написан на языке программирования Python с использованием стандартных библиотек Python. JexBoss запускается из интерфейса командной строки (CLI) и управляется с помощью консольного интерфейса. JexBoss был выпущен как инструмент с открытым исходным кодом на GitHub в ноябре 2014 года. Автор JexBoss регулярно добавлял новые функции и эксплойты до марта 2017 года.

Ранние версии JexBoss были нацелены на JBoss AS версий 3-6. С тех пор JexBoss превратился во фреймворк, который можно использовать для тестирования и эксплуатации общих уязвимостей, связанных с Java, по протоколу HyperText Transfer Protocol (HTTP).

Помимо тестирования JBoss AS на слабые конфигурации по умолчанию, JexBoss включает в себя эксплойты для различных известных уязвимостей в Java-фреймворках, включая некоторые версии Java Server Faces, Java Seam Framework, Remote Method Invocation over HTTP, Jenkins CLI, Remote Java Management Extension (JMX) и Apache Struts.

JexBoss также предлагает злоумышленникам возможность атаковать уязвимости десериализации в общих Java-приложениях и сервлетах, позволяя злоумышленникам специально выбирать в качестве целей унифицированные указатели ресурсов (URL) и параметры HTTP POST. Эта возможность может помочь злоумышленникам адаптировать свои атаки на цель и использовать уязвимости десериализации Java нулевого дня.

Конечной целью JexBoss является предоставление средств для выполнения произвольных команд операционной системы (ОС) на целевом узле. Это достигается с помощью одного из следующих механизмов:

  • Установка веб-оболочки - позволяет отправлять команды ОС на определенный HTTP URL и получать вывод выполненной команды в HTTP-ответе.
  • Слепая инъекция команд - позволяет злоумышленнику отправить команды ОС как часть пакетного эксплойта для определенной уязвимости. Команда будет выполнена, но атакующий не увидит вывода.
  • Создание обратной оболочки - и веб-оболочка, и слепая инъекция команд могут облегчить третий метод выполнения произвольных команд ОС: создание обратной оболочки. При создании обратной оболочки цель инициирует соединение Transmission Control Protocol (TCP) с хостом и портом по выбору, после чего команды и выходные данные команд передаются по этому новому соединению.

JBoss AS/WildFly - это основа веб-сервера на базе Java, которая упрощает процесс установки, развертывания и поддержки сервлетов. JBoss AS был выпущен в 2002 году как JBoss AS версии 3 и находился в стадии разработки до 2012 года, когда был выпущен финальный релиз JBoss AS 7.1.1. JBoss AS 7.1.1 затем был ребрендирован под общественный проект WildFly, который продолжает развиваться и поддерживаться. Устаревшие версии JBoss AS (особенно версии 6 и старше) имеют непропатченные уязвимости безопасности, поскольку они больше не поддерживаются. В августе 2018 года поиск NCCIC через поисковую систему Shodan показал, что по меньшей мере 28 060 веб-серверов работают на устаревшем и неподдерживаемом программном обеспечении JBoss AS.

В марте 2016 года аналитическая группа Cisco Talos Intelligence Group (Talos) выявила многочисленные случаи, когда злоумышленники использовали JexBoss для получения первоначального доступа к целевой сети через уязвимые версии JBoss AS. Затем злоумышленники перемещались вбок, чтобы достичь намеченных целей вымогательского ПО. Эта кампания стала первым широко освещенным случаем использования JexBoss.

В отчете Symantec Internet Security Threat Report за апрель 2017 года зафиксировано вторжение иранской шпионской группы Chafer на объект в Турции. В этом вторжении Chafer использовала JexBoss для выявления и эксплуатации уязвимой версии JBoss AS, а затем перешла на другие компьютеры в сети жертвы.

Эти два случая иллюстрируют использование JexBoss для получения первоначального доступа к уязвимым версиям JBoss AS, выходящим в интернет.

Indicators of Compromise

Domains

  • joaomatosf.com
  • webshell.jexboss.net

MD5

  • 13062a85ed1f5c3f4878ff3950a8e222
  • 3cd75a261debd9fb2b16368266fba778
  • 3f156bd68b2a32a1b5cb03af318667f0
  • 8db88d5d46aa503a697a6940aa10a574
  • a15bf7dd4169069c70ba2f4ee1c62b03
  • acda46759d7c3526df2a6c59803586a4
  • bb8d176207045ff70470c511271f56d9
  • cbdeaf83f58a64b09df58b94063e0146
  • e7d94e998f1ec8beb8f33e56607c45f9
  • f2af83ed4cac1d2c68f82bd8450c7428

SHA1

  • 919baeebce6aefb1c73c199b5f51f08e1a4aa7c2

SHA256

  • 6f14a63c3034d3762da8b3ad4592a8209a0c88beebcb9f9bd11b40e879f74eaf
Комментарии: 0