2019年4月，Unit 42观察到Emissary Panda（又叫APT27、TG-3390、Bronze Union、Lucky Mouse）要挟安排经过在Sharepoint服务器上装置webshell来进犯中东两个国家的 *** 机构。此次进犯运用了Microsoft SharePoint的缝隙CVE-2019-0604，这是一个长途代码履行缝隙，已于近期修补。在攻陷了Sharepoint服务器并装置好webshell后，Emissary Panda会上传了一些东西履行某些活动，例如转储凭据，或是定位转移到 *** 上的其他体系。特别值得注意的是，进犯者还会侦办方针体系是否包括缝隙CVE-2019-0144，该缝隙曾被“永久之蓝”运用过，在2019年WannaCry进犯中造成了巨大的损坏和影响。 除此之外，Emissary Panda还经过webshell上传一些合法的可履行文件，经过DLL侧加载来运转歹意DLL。咱们还在SharePoint服务器上找到了“我国菜刀”（China Chopper）webshell，它也被Emissary Panda要挟安排所运用。 在本篇文章中,咱们将阐明在这些受感染的SharePoint服务器上观察到的东西和进犯战略，并解说它们与Emissary Panda的关联性。 进犯概述 2019年4月1日至2019年4月16日，咱们在两个不同的 *** 安排保管的三个SharePoint服务器上发现了webshell活动的痕迹，进犯者在这三个SharePoint服务器上上传了共24个可履行文件。图1显现了文件上载的时刻轴，三种色彩别离标明三个webshell，图中的标签则是对应的上传文件，其间前两个webshell活动时刻距离较短，到了4月16日才开端呈现第三个webshell的身影。上传文件大多是相同的，标明很或许是同一安排所为。 图1.三个webshell文件上传时刻线 上传到webshell的东西从合法的应用程序（如cURL）到后期开发东西（如Mimikatz）不等，还有用于扫描和运用 *** 中潜在缝隙的东西，例如 *** B补丁MS17-010中修补的缝隙CVE-2019-0144便是被检索的目标之一，该缝隙常被EternalBlue运用，能横向移动到 *** 上的其他体系。咱们还观察到，上传的文件中还有HyperBro之类的自定义后门，HyperBro一般与Emissary Panda有关。 Webshell装置 如前所述，咱们在两个不同安排保管的三个SharePoint服务器中发现了webshell，其间两个具有相同的文件名errr.aspx，另一个文件名为error2.aspx。webshell保管在受感染服务器上的以下途径中： /_layouts/15/error2.aspx /_layouts/15/errr.aspx 咱们收集了进犯者与error2.aspx交互的信息。error2.aspx（SHA256：006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38）是Antak webshell的变体，Antak webshell是红队东西Nishang的一部分。Antak在error2.aspx中的特定变体是v0.5.0版，含有一些根本的身份验证功用和履行SQL查询的功用，它或许是进犯者在Nishang GitHub存储库（）或SecWiki的GitHub中取得的。图2显现了在其间一个Sharepoint服务器上加载的Antak webshell。 图2.用于上传后期运用东西的Antak webshell'error2.aspx' 除了Antak webshell之外，Sharepoint服务器还装置了其他几个webshell，如stylecs.aspx，stylecss.aspx和test.aspx（见表1），好像都与China Chopper webshell相关。咱们不能确认是否这些webshell都是由相同的进犯者装置的，由于SharePoint服务器或许已被多个进犯者运用过。与China Chopper相关的webshell是一行 *** cript代码，进犯者能轻松仿制运用；Antak webshell则可从揭露拜访的存储库中获取。但让咱们将其归因于Emissary Panda安排一个重要头绪便是Antak webshell中一起呈现China Chopper以及Emissary Panda的自定义payload，由于该安排过去也曾运用过China Chopper来损坏服务器的事例。 表1. Sharepoint服务器上保管的其他webshell stylecs.aspx webshell供给了适当重要的功用，它能运转HTTP恳求中供给的任何 *** cript代码。图3显现了stylecs.aspx的代码，它将在参数为e358efa489f58062f10dd7316b65649e中的URL中运转base64编码的 *** cript。参数e358efa489f58062f10dd7316b65649e是字母't'的MD5哈希值，也是China Chopper的已知参数。 图3.stylecs.aspx webshell中的China Chopper的代码 stylecss.aspx webshell与stylecs.aspx十分类似，它运转参数为e358efa489f58062f10dd7316b65649e的URL中的 *** cript; stylecss.aspx webshell不接受base64编码的 *** cript，而是需求明文方式的 *** cript。图4显现了stylecss.aspx中的代码，与上面的图3比较，它短少base64解码函数'FromBase64String'。 图4.stylecss.aspx webshell中找到的China Chopper代码 在Sharepoint服务器提取的最终一个webshell的文件名为test.aspx，它与stylecs.aspx webshell十分类似，也是运转恳求的URL中供给的base64编码的 *** cript，可是该脚本需求受感染安排的相关参数来获取，脚本会在在浏览器中运转和显现。test.aspx shell还包括将HTTP呼应状况设置为“404 Not Found”的代码，能在显现过错页面的一起在后台运转 *** cript。图5显现了test.aspx文件中的代码。 [1][2][3]黑客接单网