SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver
SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver
原创 Hankzheng 技术修道场 2025-05-20 00:03
导语:
企业核心系统SAP NetWeaver正面临严峻的安全挑战。
BianLian
、
RansomExx (Storm-2460)
等多个高级威胁团伙,以及包括
UNC5221
在内的其他攻击力量,均被发现利用SAP NetWeaver中的关键漏洞(如
CVE-2025-31324
,一个高危的远程代码执行漏洞;及
CVE-2025-42999
,一个危险的反序列化漏洞)。攻击者通过精心构建的组合攻击链,结合Windows CLFS零日提权漏洞 (
CVE-2025-29824
),成功部署PipeMagic模块化木马和先进的Brute Ratel C2框架。本文将对这一复杂攻击生态进行深度技术拆解。
一、 风暴之眼:SAP NetWeaver核心漏洞的连锁利用
近期,多个安全机构的报告共同指向SAP NetWeaver平台的一个或多个严重漏洞。ReliaQuest率先披露
BianLian
和
RansomExx
的利用活动。随后,EclecticIQ的报告补充了
UNC5221
、
UNC5174
和
CL-STA-0048
等团伙也在利用相关SAP漏洞(特别是
CVE-2025-31324
)的事实,凸显了此漏洞的广泛吸引力和被利用的“热度”。
核心被利用的漏洞包括:
– CVE-2025-31324:
该漏洞据信允许远程代码执行(RCE),使攻击者无需或只需低权限认证即可在SAP服务器上执行任意代码,通常是攻击的起点。
- CVE-2025-42999:
这是一个反序列化漏洞
。反序列化是将数据流转换回程序对象的过程。若应用程序在处理不可信数据进行反序列化时,没有进行严格验证,攻击者可构造恶意序列化对象,在反序列化时触发任意代码执行,尤其危险的是当反序列化操作发生在较高权限的上下文中。
Onapsis指出,这两个漏洞自2025年3月起就已被协同利用。尽管
CVE-2025-31324
本身就可能提供完整系统访问权限,但反序列化漏洞的存在为攻击者提供了额外的攻击向量或在特定场景下的补充。SAP的新补丁已确认修复了
CVE-2025-31324
的根本原因。
二、 BianLian基础设施指纹:揭秘C2关联的强证据
ReliaQuest通过对攻击基础设施的细致分析,将
BianLian
与具体攻击事件关联:
– IP
184[.]174[.]96[.]74
运行由
rs64.exe
启动的反向代理服务
。这种服务常被用于隐藏后端真实C2服务器的IP地址,增加溯源难度,并可能作为流量中继或过滤节点。
-
该IP与另一IP
184[.]174[.]96[.]70
(同一托管商)存在紧密联系,后者早先已被识别为
BianLian
的C2服务器。 -
决定性证据:
这两个IP地址被发现共享完全相同的TLS证书和独特的非标准服务端口组合
。在数字取证中,尤其对于自签名证书或不常见的端口配置,这种共享是判断不同基础设施节点由同一运营者控制的极强指标,反映了攻击团伙统一的部署和管理策略。
三、 核心攻击工具与TTPs深度剖析
1. 初始访问与Web Shell植入:
攻击者利用上述SAP漏洞获得对服务器的初始访问权限后,常见的首选动作是植入Web Shell
。Web Shell作为一种部署在Web服务器上的恶意脚本,为攻击者提供了一个持久化的后门,允许其远程执行系统命令、管理文件、并作为进一步渗透内网的跳板。
2. PipeMagic模块化木马:
通过Web Shell,攻击者继而部署 PipeMagic
木马。其“基于插件”的架构赋予了它高度的灵活性和可扩展性。虽然具体插件类型未在本次报告中详述,但这类木马通常能够按需加载不同功能的恶意模块,如:凭证窃取(LSASecrets转储、浏览器密码)、文件系统遍历与数据回传、键盘记录、以及与其他恶意软件的协同等。
3. Brute Ratel C2:商业红队工具的滥用
部分攻击活动中使用了更为精密的 Brute Ratel C2 (BRc4) 框架
。Brute Ratel是一款商业化的、功能强大的攻击模拟和红队操作平台,专为高级渗透测试设计。其特性包括多种隐蔽的C2通信协议、内存执行、无文件攻击能力、强大的权限维持技术以及针对AV/EDR等安全产品的规避手段。正因其先进性,它不幸被老练的网络犯罪团伙所滥用,对企业防御构成严峻挑战。
部署方式常采用内联MSBuild任务执行 (Inline MSBuild Task Execution)
:
– MSBuild.exe
是微软官方的构建工具,原生存在于Windows系统中。
- 攻击者通过执行一个精心构造的XML项目文件,其中可内联C#代码。
MSBuild
会编译并执行这段代码,从而实现无落地可执行文件的恶意操作(“Living off the Land”)。此方法隐蔽性强,能有效规避基于文件签名的检测。
4. 权限提升:Windows CLFS零日漏洞 (CVE-2025-29824) 的关键作用
在通过SAP漏洞获取初始立足点后(此时可能仅为应用层权限或低权限用户),攻击者会利用Windows通用日志文件系统 (CLFS) 驱动中的本地权限提升零日漏洞 CVE-2025-29824
。通过成功利用此漏洞(例如,ReliaQuest观察到通过内联汇编方式触发),攻击者能将其在操作系统上的权限提升至最高的NT AUTHORITY\SYSTEM
级别。这一步至关重要,它为攻击者后续的任意系统操作、禁用安全软件、窃取敏感系统凭证、部署更深层次的持久化机制(如Rootkit)以及进行大规模内网横向移动扫清了障碍。
四、 综合攻击路径推演
基于现有情报,我们可以勾勒出攻击者可能采用的复杂攻击路径:
1. 阶段1 (初始入侵):
利用SAP NetWeaver漏洞 (
CVE-2025-31324
/
CVE-2025-42999
) 实现远程代码执行 -> 植入Web Shell。
- 阶段2 (载荷投递与提权):
-
路径A (PipeMagic):
通过Web Shell下载并执行PipeMagic木马 -> 若需更高权限,则执行CLFS提权模块 (
CVE-2025-29824
)。 -
路径B (Brute Ratel):
通过Web Shell执行MSBuild内联任务,加载Brute Ratel C2 Agent -> 执行CLFS提权模块 (
CVE-2025-29824
) 确保SYSTEM权限。 -
阶段3 (C2与后续行动):
-
BianLian
可能通过
rs64.exe
等工具建立反向代理连接至其C2,进行数据勒索准备。 -
RansomExx
则通过PipeMagic或Brute Ratel与C2通信,部署勒索软件,加密数据。 -
其他APT团伙则可能利用此权限进行情报窃取或长期潜伏。
五、 企业安全防御与缓解策略
面对此类利用核心业务系统漏洞发起的复杂攻击,企业需采取全面且纵深的防御措施:
1. 紧急漏洞管理:
1. 首要任务:
立即识别受影响的SAP NetWeaver系统,并无延迟地应用SAP官方发布的所有相关安全补丁,特别是针对
CVE-2025-31324
和
CVE-2025-42999
的修复。
-
验证补丁安装的有效性。
-
强化SAP系统安全配置:
-
定期审计SAP用户权限和角色,遵循最小权限原则。
-
禁用不必要的SAP服务和功能模块。
-
对SAP自定义代码(ABAP等)进行安全审计,防范代码层面的漏洞。
-
严格限制对SAP系统管理端口和接口的网络访问。
-
威胁检测与监控:
-
监控
MSBuild.exe
的异常行为:关注其父进程(如Web服务器进程)、命令行参数(执行非标准项目文件)、以及后续的网络连接和文件操作。 -
检测利用CLFS漏洞 (
CVE-2025-29824
) 的行为特征,如对
.blf
及
.clfs
文件的可疑操作,或特定API的滥用。 -
检测PipeMagic、Brute Ratel等恶意软件的已知IOCs和TTPs(如特定进程名、内存特征、注册表项、互斥体等)。
-
监控
dllhost.exe
、
rundll32.exe
等进程的异常派生和行为。 -
网络层面:
监控异常出站连接,特别是与已知恶意IP/域名的通信;检测Web Shell特征流量。 -
主机层面 (EDR/XDR):
-
加强身份验证与访问控制:
对所有关键系统实施多因素认证(MFA)。 -
情报驱动防御与应急响应:
-
订阅威胁情报服务,及时了解最新的漏洞信息和攻击者TTPs。
-
制定并定期演练应急响应计划,确保在安全事件发生时,能够迅速隔离、遏制、溯源并恢复业务。
-
考虑部署SOAR平台自动化部分响应流程。
结语:
SAP系统作为众多大型企业的运营核心,其安全性直接关系到企业的命脉。此次针对NetWeaver的系列攻击事件,不仅揭示了特定漏洞的严重性,更展现了现代网络攻击者如何娴熟地整合不同漏洞、工具和技术(TTPs),形成威力巨大的组合攻击。企业必须认识到,针对核心系统的防护是一场持续的、情报驱动的对抗,需要从技术、流程和人员等多个维度构建强大的安全韧性,才能有效应对日益复杂和隐蔽的网络威胁。供应链安全(如SAP这类关键供应商)的风险评估也应成为企业整体安全战略的重要组成部分。