2019年4月,Unit 42观察到Emissary Panda(又叫APT27、TG-3390、Bronze Union、Lucky Mouse)要挟安排经过在Sharepoint服务器上装置webshell来进犯中东两个国家的 *** 机构。此次进犯运用了Microsoft SharePoint的缝隙CVE-2019-0604,这是一个长途代码履行缝隙,已于近期修补。在攻陷了Sharepoint服务器并装置好webshell后,Emissary Panda会上传了一些东西履行某些活动,例如转储凭据,或是定位转移到 *** 上的其他体系。特别值得注意的是,进犯者还会侦办方针体系是否包括缝隙CVE-2019-0144,该缝隙曾被“永久之蓝”运用过,在2019年WannaCry进犯中造成了巨大的损坏和影响。
除此之外,Emissary Panda还经过webshell上传一些合法的可履行文件,经过DLL侧加载来运转歹意DLL。咱们还在SharePoint服务器上找到了“我国菜刀”(China Chopper)webshell,它也被Emissary Panda要挟安排所运用。
在本篇文章中,咱们将阐明在这些受感染的SharePoint服务器上观察到的东西和进犯战略,并解说它们与Emissary Panda的关联性。
进犯概述
2019年4月1日至2019年4月16日,咱们在两个不同的 *** 安排保管的三个SharePoint服务器上发现了webshell活动的痕迹,进犯者在这三个SharePoint服务器上上传了共24个可履行文件。图1显现了文件上载的时刻轴,三种色彩别离标明三个webshell,图中的标签则是对应的上传文件,其间前两个webshell活动时刻距离较短,到了4月16日才开端呈现第三个webshell的身影。上传文件大多是相同的,标明很或许是同一安排所为。
图1.三个webshell文件上传时刻线
上传到webshell的东西从合法的应用程序(如cURL)到后期开发东西(如Mimikatz)不等,还有用于扫描和运用 *** 中潜在缝隙的东西,例如 *** B补丁MS17-010中修补的缝隙CVE-2019-0144便是被检索的目标之一,该缝隙常被EternalBlue运用,能横向移动到 *** 上的其他体系。咱们还观察到,上传的文件中还有HyperBro之类的自定义后门,HyperBro一般与Emissary Panda有关。
Webshell装置
如前所述,咱们在两个不同安排保管的三个SharePoint服务器中发现了webshell,其间两个具有相同的文件名errr.aspx,另一个文件名为error2.aspx。webshell保管在受感染服务器上的以下途径中:
/_layouts/15/error2.aspx
/_layouts/15/errr.aspx
咱们收集了进犯者与error2.aspx交互的信息。error2.aspx(SHA256:006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38)是Antak webshell的变体,Antak webshell是红队东西Nishang的一部分。Antak在error2.aspx中的特定变体是v0.5.0版,含有一些根本的身份验证功用和履行SQL查询的功用,它或许是进犯者在Nishang GitHub存储库()或SecWiki的GitHub中取得的。图2显现了在其间一个Sharepoint服务器上加载的Antak webshell。
图2.用于上传后期运用东西的Antak webshell'error2.aspx'
除了Antak webshell之外,Sharepoint服务器还装置了其他几个webshell,如stylecs.aspx,stylecss.aspx和test.aspx(见表1),好像都与China Chopper webshell相关。咱们不能确认是否这些webshell都是由相同的进犯者装置的,由于SharePoint服务器或许已被多个进犯者运用过。与China Chopper相关的webshell是一行 *** cript代码,进犯者能轻松仿制运用;Antak webshell则可从揭露拜访的存储库中获取。但让咱们将其归因于Emissary Panda安排一个重要头绪便是Antak webshell中一起呈现China Chopper以及Emissary Panda的自定义payload,由于该安排过去也曾运用过China Chopper来损坏服务器的事例。
表1. Sharepoint服务器上保管的其他webshell
stylecs.aspx webshell供给了适当重要的功用,它能运转HTTP恳求中供给的任何 *** cript代码。图3显现了stylecs.aspx的代码,它将在参数为e358efa489f58062f10dd7316b65649e中的URL中运转base64编码的 *** cript。参数e358efa489f58062f10dd7316b65649e是字母't'的MD5哈希值,也是China Chopper的已知参数。
图3.stylecs.aspx webshell中的China Chopper的代码
stylecss.aspx webshell与stylecs.aspx十分类似,它运转参数为e358efa489f58062f10dd7316b65649e的URL中的 *** cript; stylecss.aspx webshell不接受base64编码的 *** cript,而是需求明文方式的 *** cript。图4显现了stylecss.aspx中的代码,与上面的图3比较,它短少base64解码函数'FromBase64String'。
图4.stylecss.aspx webshell中找到的China Chopper代码
在Sharepoint服务器提取的最终一个webshell的文件名为test.aspx,它与stylecs.aspx webshell十分类似,也是运转恳求的URL中供给的base64编码的 *** cript,可是该脚本需求受感染安排的相关参数来获取,脚本会在在浏览器中运转和显现。test.aspx shell还包括将HTTP呼应状况设置为“404 Not Found”的代码,能在显现过错页面的一起在后台运转 *** cript。图5显现了test.aspx文件中的代码。
[1][2][3]黑客接单网