Splunk LPE and Persistence
рдпрджрд┐ рдЖрдВрддрд░рд┐рдХ рдпрд╛ рдмрд╛рд╣рд░реА рд░реВрдк рд╕реЗ рдХрд┐рд╕реА рдорд╢реАрди рдХрд╛ рдЧрдгрдирд╛ рдХрд░рддреЗ рд╕рдордп рдЖрдкрдХреЛ Splunk рдЪрд▓рд╛рддреЗ рд╣реБрдП (рдкреЛрд░реНрдЯ 8090) рдорд┐рд▓рддрд╛ рд╣реИ, рдпрджрд┐ рдЖрдкрдХреЛ рдХрд┐рд╕реА рдорд╛рдиреНрдп рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдХрд╛ рдкрддрд╛ рд╣реИ рддреЛ рдЖрдк Splunk рд╕реЗрд╡рд╛ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╢реЗрд▓ рдХреЛ рдЙрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ Splunk рдЪрд▓рд╛ рд░рд╣рд╛ рд╣реИред рдпрджрд┐ рд░реВрдЯ рдЗрд╕реЗ рдЪрд▓рд╛ рд░рд╣рд╛ рд╣реИ, рддреЛ рдЖрдк рд░реВрдЯ рддрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВред
рдпрджрд┐ рдЖрдк рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд░реВрдЯ рд╣реИрдВ рдФрд░ Splunk рд╕реЗрд╡рд╛ рдХреЗрд╡рд▓ рд▓реЛрдХрд▓рд╣реЛрд╕реНрдЯ рдкрд░ рд╕реБрди рдирд╣реАрдВ рд░рд╣реА рд╣реИ, рддреЛ рдЖрдк Splunk рд╕реЗрд╡рд╛ рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдлрд╝рд╛рдЗрд▓ рдЪреБрд░рд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рдХреНрд░реИрдХ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╛ рдЗрд╕рдореЗрдВ рдирдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдФрд░ рд╣реЛрд╕реНрдЯ рдкрд░ рд╕реНрдерд┐рд░рддрд╛ рдмрдирд╛рдП рд░рдЦ рд╕рдХрддреЗ рд╣реИрдВред
рдиреАрдЪреЗ рдкрд╣рд▓реЗ рдЪрд┐рддреНрд░ рдореЗрдВ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдПрдХ Splunkd рд╡реЗрдм рдкреГрд╖реНрда рдХреИрд╕рд╛ рджрд┐рдЦрддрд╛ рд╣реИред
Splunk рдпреВрдирд┐рд╡рд░реНрд╕рд▓ рдлреЙрд░рд╡рд░реНрдбрд░ рдПрдЬреЗрдВрдЯ рдХрд╛ рд╢реЛрд╖рдг рд╕рд╛рд░рд╛рдВрд╢
рдЕрдзрд┐рдХ рд╡рд┐рд╡рд░рдг рдХреЗ рд▓рд┐рдП рдкреЛрд╕реНрдЯ рджреЗрдЦреЗрдВ https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/ред рдпрд╣ рдХреЗрд╡рд▓ рдПрдХ рд╕рд╛рд░рд╛рдВрд╢ рд╣реИ:
рд╢реЛрд╖рдг рдЕрд╡рд▓реЛрдХрди: Splunk рдпреВрдирд┐рд╡рд░реНрд╕рд▓ рдлреЙрд░рд╡рд░реНрдбрд░ рдПрдЬреЗрдВрдЯ (UF) рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓рд╛ рдПрдХ рд╢реЛрд╖рдг рдЙрди рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдХреЛ рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдЬрд┐рдирдХреЗ рдкрд╛рд╕ рдПрдЬреЗрдВрдЯ рдкрд╛рд╕рд╡рд░реНрдб рд╣реИ, рдПрдЬреЗрдВрдЯ рдЪрд▓рд╛ рд░рд╣реЗ рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдордирдорд╛рдирд╛ рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рдкреВрд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдЦрддрд░реЗ рдореЗрдВ рдбрд╛рд▓рддрд╛ рд╣реИред
рдореБрдЦреНрдп рдмрд┐рдВрджреБ:
UF рдПрдЬреЗрдВрдЯ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рдиреЛрдВ рдпрд╛ рдХреЛрдб рдХреА рдкреНрд░рд╛рдорд╛рдгрд┐рдХрддрд╛ рдХреЛ рдорд╛рдиреНрдп рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдпрд╣ рдЕрдирдзрд┐рдХреГрдд рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд▓рд┐рдП рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИред
рд╕рд╛рдорд╛рдиреНрдп рдкрд╛рд╕рд╡рд░реНрдб рдЕрдзрд┐рдЧреНрд░рд╣рдг рд╡рд┐рдзрд┐рдпреЛрдВ рдореЗрдВ рдЙрдиреНрд╣реЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ, рдлрд╝рд╛рдЗрд▓ рд╢реЗрдпрд░реЛрдВ, рдпрд╛ рдЖрдВрддрд░рд┐рдХ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реЛрдВ рдореЗрдВ рдвреВрдВрдврдирд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред
рд╕рдлрд▓ рд╢реЛрд╖рдг рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд┐рдП рдЧрдП рд╣реЛрд╕реНрдЯ рдкрд░ SYSTEM рдпрд╛ рд░реВрдЯ рд╕реНрддрд░ рдХреА рдкрд╣реБрдВрдЪ, рдбреЗрдЯрд╛ рдирд┐рдХрд╛рд╕реА, рдФрд░ рдЖрдЧреЗ рдХреЗ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдШреБрд╕рдкреИрда рд╣реЛ рд╕рдХрддреА рд╣реИред
рд╢реЛрд╖рдг рдирд┐рд╖реНрдкрд╛рджрди:
рд╣рдорд▓рд╛рд╡рд░ UF рдПрдЬреЗрдВрдЯ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред
рдПрдЬреЗрдВрдЯреЛрдВ рдХреЛ рдЖрджреЗрд╢ рдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рднреЗрдЬрдиреЗ рдХреЗ рд▓рд┐рдП Splunk API рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред
рд╕рдВрднрд╛рд╡рд┐рдд рдХреНрд░рд┐рдпрд╛рдУрдВ рдореЗрдВ рдлрд╝рд╛рдЗрд▓ рдирд┐рд╖реНрдХрд░реНрд╖рдг, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЦрд╛рддрд╛ рд╣реЗрд░рдлреЗрд░, рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдХрд╛ рд╕рдордЭреМрддрд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред
рдкреНрд░рднрд╛рд╡:
рдкреНрд░рддреНрдпреЗрдХ рд╣реЛрд╕реНрдЯ рдкрд░ SYSTEM/рд░реВрдЯ рд╕реНрддрд░ рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдкреВрд░реНрдг рдиреЗрдЯрд╡рд░реНрдХ рд╕рдордЭреМрддрд╛ред
рдкрд╣рдЪрд╛рди рд╕реЗ рдмрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рдВрдЧ рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рд╕рдВрднрд╛рд╡рдирд╛ред
рдмреИрдХрдбреЛрд░ рдпрд╛ рд░реИрдирд╕рдорд╡реЗрдпрд░ рдХреА рд╕реНрдерд╛рдкрдирд╛ред
рд╢реЛрд╖рдг рдХреЗ рд▓рд┐рдП рдЙрджрд╛рд╣рд░рдг рдЖрджреЗрд╢:
рдЙрдкрдпреЛрдЧреА рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдПрдХреНрд╕рдкреНрд▓реЙрдЗрдЯреНрд╕:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Splunk рдХреНрд╡реЗрд░реА рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ
рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдкреЛрд╕реНрдЯ рджреЗрдЦреЗрдВ https://blog.hrncirik.net/cve-2023-46214-analysis
Last updated