文章总结： 攻击者利用CVE-2023-46604漏洞入侵ApacheActiveMQ服务器，在初次入侵被驱逐18天后再次得手，并最终部署了LockBit勒索软件。他们使用Metasploit和Meterpreter进行后渗透活动，包括权限提升、访问LSASS进程内存以获取凭据，并通过RDP进行网络横向移动。此次攻击事件凸显了修补已知漏洞的重要性，以及攻击者利用公开漏洞工具进行持续性入侵的威胁。 综合评分： 95 文章分类： 漏洞分析,应急响应,恶意软件,渗透测试,WEB安全

Apache ActiveMQ漏洞导致LockBit勒索软件攻击事件分析

雨 雨

Desync InfoSec

2026年3月30日 22:59 北京

Apache ActiveMQ 漏洞利用导致 LockBit 勒索软件攻击

原文：The DFIR Report | 翻译整理：雨

核心要点：攻击者利用 CVE-2023-46604 漏洞入侵 Apache ActiveMQ 服务器，在被驱逐后18天再次成功入侵，最终部署 LockBit 勒索软件。

关键发现

• 攻击者利用 CVE-2023-46604 漏洞入侵暴露在互联网上的 Apache ActiveMQ 服务器

• 尽管初次入侵后被驱逐，攻击者在 18天后 再次成功入侵同一服务器

• 使用 Metasploit 和 Meterpreter 进行后渗透活动，包括权限提升、访问 LSASS 进程内存和网络横向移动

• 利用首次入侵时获取的凭据，通过 RDP 部署 LockBit 勒索软件

• 虽然勒索软件二进制文件符合 LockBit 签名，但赎金说明已被修改，通信方式仅依赖 Session 消息服务

事件摘要

此次入侵始于2024年2月中旬，攻击者利用 CVE-2023-46604 漏洞对暴露的 Apache ActiveMQ 服务器进行远程代码执行（RCE）。攻击者使用 Java Spring 类和自定义的 Java Spring bean 配置 XML 文件执行恶意命令，通过 Windows CertUtil 工具从远程服务器下载 payload。

图1：攻击时间线和流程概览

下载的 payload 是一个 Metasploit stager。在初始利用约40分钟后，观察到攻击者执行 GetSystem 命令获取 SYSTEM 权限，随后访问 LSASS 进程内存。

约20分钟后，观察到从跳板主机到网络中各系统的 SMB 流量激增，这可能是攻击者进行的网络扫描。在此期间，攻击者使用域管理员账户运行远程服务并在多台远程主机上执行 Metasploit payload。

图2：SMB 网络流量扫描活动

入侵第二天，攻击者返回跳板主机运行更多标准发现命令。许多命令包含语法错误，攻击者还尝试将前一天使用的账户添加到域管理员组（但该账户已经是域管理员组成员）。此后不久，攻击者失去了对环境访问权限。

18天后，攻击者再次利用同一未修补的 Apache ActiveMQ 服务器漏洞重新获得访问权限。他们重复了 GetSystem 和 LSASS 访问操作，然后快速检查域管理员组，20分钟后开始横向移动到多台服务器（包括域控制器）。

初始访问

此次入侵始于2024年2月，一台暴露的 Windows 服务器托管着存在漏洞的 Apache ActiveMQ 实例，通过远程代码执行漏洞 CVE-2023-46604 被入侵。

图3：CVE-2023-46604 漏洞利用过程

攻击者两次利用该服务器，因为在第一次入侵后一天失去了访问权限。然而，未修补的系统使他们能够轻松返回。攻击者使用了完全相同的技术和程序，仅更改了成功利用后下载的文件名称。

利用活动触发了 Emerging Threats 的以下网络入侵检测规则：

• ET EXPLOIT Apache ActiveMQ Remote Code Execution (CVE-2023-46604) • ET EXPLOIT Apache ActiveMQ OpenWire Protocol RCE Attempt

利用的第一步是向 ActiveMQ 服务器发送恶意构造的 OpenWire 命令。通过发送 Java Spring org.springframework.context.support.ClassPathXmlApplicationContext 类以及恶意 Java Spring bean 配置 XML 文件的 URL，在 OpenWire Exception Response 命令的 Throwable 类型字段中实现 RCE。

Meterpreter 活动

在第一次成功入侵期间，攻击者利用易受攻击的 ActiveMQ 服务器后，下载并执行了一个名为 uFSyLszKsuR.exe 的 Metasploit stager，使用 CertUtil 作为下载工具。

图4：Metasploit payload 执行过程

Sysmon 事件 ID 11 显示 certutil 创建了该文件。网络流量中也看到了具有典型 MZ 头和 “This program cannot be run in DOS mode” 字符串的可执行文件下载。

uFSyLszKsuR.exe 是一个配置为与其交付服务器通信的 Metasploit 可执行文件。使用 YARA 和 speakeasy 确认它是与 166.62.100[.]52 通信的 Metasploit 可执行文件。

权限提升与凭据访问

入侵期间，AnyDesk 远程访问工具也被投放到跳板主机并随后安装。安装时，AnyDesk 应用程序创建了一个服务并将其配置为自动启动。

图5：GetSystem 权限提升过程

通过利用在跳板主机上投放的 Meterpreter stager 执行后，观察到创建了一个名为 kesknq 的新服务。该服务随后执行命令，这种模式通常与在 Meterpreter shell 中运行 getsystem 命令以提升权限相关。

在多台主机上通过从 LSASS 进程内存转储访问凭据。此活动在入侵的第一轮和第二轮都发生。CallTrace UNKNOWN 表示注入代码，GrantedAccess 0x1010 授予对进程内存的读取权限（0x00000010 = VMRead）。

横向移动

攻击者使用 Metasploit 在网络中的多台主机上执行远程服务，无论是在入侵的第一天还是第18天返回时。

图6：网络横向移动活动

在某些主机上，Microsoft Defender 防病毒软件处于活动状态。在这些系统上，Defender 检测到并阻止了服务创建和 PowerShell 执行的多个实例。

在入侵的第18天，攻击者还使用 RDP 进行横向移动。他们首先登录到备份服务器。使用的凭据属于在入侵第一天从其中一台服务器转储的特权服务账户。

影响：LockBit 勒索软件部署

在入侵的第18天，在第二轮攻击者活动期间，攻击者转向涉及在整个环境中部署勒索软件的最终目标。使用他们注入的 Winlogon 进程投放了两个文件：LB3_pass.exe 和 LB3.exe。

图7：LockBit 勒索软件执行过程

这些文件是 LockBit 勒索软件可执行文件。根据执行后投放的赎金说明，评估该勒索软件是使用泄露的 LockBit Black 构建器创建的。此构建器生成加密和解密密钥并生成所需的 PE 文件。

将勒索软件引入环境后，攻击者通过 RDP 会话将文件复制到各系统。利用了 C:\Intel 暂存文件夹和用户账户的 %USERPROFILE%\Downloads 目录。

赎金说明没有遵循正常的 LockBit 格式（指导受害者访问 Tor 泄露站点或使用 TOX/Jabber 通信）；相反，它指示他们下载并使用 Session 私人消息应用程序。这种修改后的说明和缺乏与官方 LockBit 基础设施的关联使我们评估此活动是由独立威胁行为者使用泄露的构建器运营自己的勒索软件活动进行的。

检测规则

DFIR Rules:

• Metasploit GetSystem Service Creation • LSASS Memory Access via Injected Code • CertUtil Download and Execute

Sigma Repo:

• win_metasploit_getsystem.yml • win_lsass_memory_access.yml • win_certutil_download.yml

Elastic Protection Artifacts:

• Windows_Trojan_Metasploit.yar

原文：The DFIR Report 翻译整理：雨 案例编号：TB27524 #PR39767

The DFIR Report 提供基于观察到的入侵的深入、真实世界情报，使安全分析师和团队能够加强防御、增强检测并加速响应。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec 雨 雨《Apache ActiveMQ漏洞导致LockBit勒索软件攻击事件分析》