.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Unit 42的研究人員發現,從2020年末到2022年末,發生了一系列針對美國和歐盟幾家網絡託管和IT提供商的攻擊活動,研究人員將其編號為CL-CRI-0021,並認為其幕後攻擊者是Menagerie。
攻擊者在被劫持的設備上部署挖礦程序,以盜竊受攻擊服務器的資源。他們通過大規模部署web shell,來進一步增加持強起持續訪問能力,並進一步訪問受攻擊網站的內部資源。這樣一來,攻擊者就有可能把被劫持的合法網站(由目標網絡託管和IT提供商託管)大規模地變成指揮和控制(C2)服務器,從而影響數千個網頁。因此,攻擊者可以從具有良好聲譽的合法網站運行他們的C2活動,這些網站不一定被安全解決方案標記為惡意。這可能會對被濫用的合法網站產生巨大的影響,在這種情況下,這些網站會在不知情的情況下託管惡意內容和隱藏攻擊活動。此類攻擊活動可能對網站所有者或網絡託管公司造成負面影響。
在受害者的網絡中,攻擊者嘗試了多種技術來逃避各種檢測。他們還繼續執行有效負載,重新部署和重新運行以前被阻止的工具,或者使用其他類似的工具。總之,攻擊者試圖不用已知的惡意軟件,通過引入定制工具和依賴公開可用的合法工具來躲避檢測。
根據研究人員在這次攻擊中觀察到的戰術、技術和程序(TTP),之前被稱為Menagerie的攻擊者實施了上述攻擊,因此本文將其稱之為“Menagerie2.0”。
據澳大利亞網絡安全中心報導,該攻擊者至少從2018年就開始活躍,目標是澳大利亞的網絡託管公司。
初始訪問和持久化“Menagerie2.0”活動是在2020年底首次發現的,目標是美國和歐盟的公司。在此活動中,攻擊者通過利用易受攻擊的web應用程序和IIS服務器,並在這些受攻擊的服務器上部署不同的web shell,獲得了對目標設備的訪問權限。
在活動的web服務器上部署web shell允許攻擊者劫持合法網站。 webshell被放置在這些託管網站的C:\[hosted websites on the server path]\wwwroot\example.com\webshell.aspx文件夾中。
這些操作還允許將來從受害者的網絡外部公開訪問,這可以讓這些網站變成攻擊者未來的C2服務器。研究人員還觀察到同樣的web shell,即xn.aspx,目標是澳大利亞的網絡主機公司。
在Manic Menagerie 2.0中部署web shell後,攻擊者開始部署挖礦程序。這樣做很可能是為了濫用受損服務器強大的計算資源,通過挖礦獲取目標的錢財。
2021-2022年期間,在公開披露多個Microsoft Exchange Server漏洞後,攻擊者試圖在一些目標中利用以下漏洞:
CVE-2021-26855、CVE-2022-41040:(ProxyNotShell)Exchange Server SSRF漏洞;
CVE-2021-34473:ProxyShell漏洞之一,Exchange Server遠程代碼執行漏洞;
CVE-2021-33766(ProxyToken):允許攻擊者修改任意用戶的郵箱配置;
因此,除了IIS服務器中的漏洞和環境中易受攻擊的web應用程序之外,前面提到的漏洞還為攻擊者提供了另一個滲透和持久性載體。
偵察功能和權限升級從2020年底開始,參與Menagerie 2.0活動的攻擊者開始定期嘗試執行本地權限升級,以將自己的用戶添加到IIS服務器中的管理員組中,以進一步提升他們的攻擊能力。當一個工具失敗時,他們會嘗試用另一個具有類似功能的工具。
攻擊者使用了一個名為RunasCs的runas.exe.NET封裝器。此公開可用的工具啟用了原始runas.exe實用程序所缺乏的擴展功能,例如通過使用用戶憑據明文執行進程。
觀察到攻擊者試圖通過在易受攻擊的web應用程序下運行,在受攻擊的環境中執行進一步的網絡偵察。然後,他們試圖通過運行au.exe來添加自己的用戶,au.exe是“add user”的縮寫。該文件必須由已提升的用戶運行。然後,他們通過運行net命令來確保他們的用戶名存在。
他們對用戶名iis_user和iis_users的使用是值得注意的,因為後者最初可能看起來是一個拼寫錯誤。
au.exe創建iis_user用戶並為其生成密碼
前面提到的au.exe是一個攻擊者試圖多次運行的工具,它與不同的PoC本地權限提升工具鏈接在一起,如下圖所示。
試圖在易受攻擊的web應用程序下執行RunasCs和其他命令
可以看到攻擊者使用多個工具來實現相同的權限升級,如上圖所示,64位版本的PrintSpoofer就是其中一個工具。這個公共工具被攻擊者用來提升au.exe,否則它就不會添加它想要添加的用戶。
fork炸彈(fork bomb)和更多本地權限升級據觀察,攻擊者利用以下漏洞,試圖使用多個公開可用的工具升級本地權限(LPE):
CVE-2018-8120
CVE-2019-0623
CVE-2019-0803
CVE-2019-1458
研究人員在Menagerie 2.0中觀察到的另一個有趣的執行是svchost.exefork炸彈。 ACSC關於Menagerie活動的報告也提到了這種類型的拒絕服務(DoS)工具的存在。
這個fork炸彈的代碼非常簡單,因為它在一個無限循環中運行,會打開越來越多程序,直到設備耗盡內存。此活動旨在使設備崩潰並強制重新啟動。這允許需要重新啟動才能開始的可執行文件的持久性機制。
fork炸彈二進製文件中的無限循環代碼片段
dllnc.dll:運行有效負載和添加用戶工具研究人員在Menagerie 2.0活動中觀察到的另一個名為dllnc的工具有兩個主要功能。一個是加載攻擊者的一些可執行文件和批處理文件,另一個是作為另一個工具,用於將攻擊者的用戶添加到管理員組。
它包含一個指示PDB路徑:F:\upfile\3389\opents\dlladduser\x64\Release\dllnc.pdb,截至2023年5月中旬,其在VirusTotal中沒有產生任何其他結果。這表明,這是針對特定目標的自定義工具。
加載程序代碼段試圖加載一些它認為已經在攻擊者路徑中的工具(如圖4所示),因為沒有檢查它們是否實際存在。在這樣做的同時,它考慮了幾種可能的硬編碼路徑,其中大多數都出現在這次攻擊活動中。
攻擊者工具的硬編碼路徑,如dllnc.dll中所示
然後,該工具刪除當前的iis_user用戶,然後重新添加它,這次是使用硬編碼的密碼。同樣,這種行為與ACSC關於原始瘋狂Menagerie運動的報告有關。該報告中也提到了相對ID(RID)劫持工具的一個舊變體(如圖5所示),類似於這種行為。
RID劫持工具
這兩種變體中的密碼有著明顯的、非常相似的地方,因為它們都使用xman前綴和類似的後綴。
用戶iis_user及其硬編碼密碼
PCHunterPCHunter是被觀察到的另一個被Menagerie 2.0活動使用的工具,它讓人想起GMER和Rootkit Unhooker等老工具。它是一個合法的和強大的工具包,用於瀏覽和修改不同的Windows內部組件。下圖顯示了試圖執行被阻止的PCHunter。
下圖顯示了“Epoolsoft Corporation”的PCHunter數字簽名。中文評論提供了該工具的快速描述。這被翻譯為“Yipmin是一個Windows系統信息查看工具(安全類別)。”
PCHunter簽名者信息
大規模後門:將已知的Web Shell部署到多個目的地在Menagerie 2.0活動中觀察到的第二波明顯的攻擊主要是在託管網站大規模部署web shell。這使得攻擊者能夠通過允許他們未來的公共訪問來加強他們的攻擊立足點,並將他們的web shell隱藏在嵌套文件夾深處。這些合法被劫持的網站將來可能會被用作C2服務器,例如,作為殭屍網絡基礎設施的一部分。
攻擊者的部署嘗試可以追溯到2022年初,當時他們在多個託管網站上部署了名為ASPXSpy的已知web shell,他們觀察到這個web shell被寫入了數百個不同的路徑,如下圖所示。
ASPXSpy web shell被寫入不同的託管網站路徑
GoIIS攻擊者還運行了一個名為IIS1.asp或GoIIS.exe的工具,該工具於2017年編譯。該工具是用Golang編寫的,用於遍歷服務器的文件夾以檢索服務器的配置信息。這使攻擊者能夠獲得有關被攻擊服務器的寶貴信息。
IIS工具
Sh.exe:自定義Web Shell部署工具2022年末,攻擊者部署了一個名為sh.exe的自定義工具,作為Menagerie 2.0活動的一部分,其執行情況如下圖所示。該工具的作用是根據共享相同公共IP地址的服務器上預先配置的路徑和合法被劫持網站的列表,在託管網站大規模編寫web shell。
為了方便使用此工具,攻擊者使用了caclcs.exe的自定義封裝器,攻擊者將其命名為mycacls.com,這是一個用於管理訪問控制列表(ACL)的命令行工具。該工具使他們能夠批量更改web服務器的ACL權限,並降低IIS安全設置。
嘗試與其他工具和命令一起執行sh.exe,但被Cortex XDR阻止
傳遞給sh.exe的參數包含共享相同公共IP的相關網站列表。在執行時,sh.exe工俱生成各種看起來合法的子文件夾,例如圖像和css,以進一步隱藏它們的活動。這可能是為了讓攻擊者將來能夠從互聯網訪問受害者的設備,並可能在將來大規模地使用該基礎設施作為C2服務器。
sh.exe使用'Fujian identical investment co.Ltd.'頒發的無效證書籤名,如下圖所示。這與ACSC報告在活動中描述的用於簽署另一個工具的名稱相同。
在觀察到的樣本中,sh.exe是在2022年11月3日編譯的。其證書於2022年12月6日簽署。簽署後不久,就可以看到攻擊者在其中一個受攻擊的環境中執行sh.exe。無效證書的編譯時間戳和日期範圍可能表明該工具是專門為此特定活動製作的。
Sh.exe無效簽名
雖然攻擊者刪除了大部分文件,但研究人員發現sh.exe和它釋放的文件之間存在無法恢復的連接。調查發現了攻擊者使用的三個不同的已編譯.NET DLL。
一旦“原始”ASPX文件第一次被訪問,這些dll將由IIS服務器編譯。在對代碼進行反編譯後,基於在兩個文件中發現的指示字符串,在web shell和sh.exe之間發現了有趣的相似之處。
瀏覽其中一個被web shell釋放的網站,頁面上的內容是字符串ONEPIECE,如下圖所示。
瀏覽其中一個被劫持網站的web shell資源
瀏覽其中一個web shell的代碼並查看負責顯示HTML內容的代碼,可以看到該字符串以及其他指示字符串,如x_best_911。
ONEPIECE字符串在編譯的web shell的DLL代碼中進行了硬編碼
在sh.exe中也可以找到x_best_911字符串,如下圖所示。
sh.exe中硬編碼的x_best_911字符串
在執行上述RID Hijack工具時生成的密碼包含xman字符串。這個字符串也可以在sh.exe中找到,如下圖所示,這表明了在最近的活動中看到的新工具之前也在Menagerie活動中出現過。
xman字符串在sh.exe中是硬編碼的
LPE工具集如上所述,一旦IIS服務器訪問web shell,就會動態編譯. net DLL並將其放置在臨時目錄中。如下圖所示,一個編譯過的DLL web shell文件是App_Web_xvuga1zl.dll。攻擊者與web shell建立的連接導致了另一次遠程執行多個LPE公開可用工具的嘗試,正如在與此活動相關的攻擊的許多階段所看到的那樣。
正如攻擊者之前所做的那樣,他們還使用了幾個權限升級工具。在一個示例中,為避免被阻止,每次執行之間只有幾分鐘的間隔:
JuicyPotato;
PrintSpoofer;
JuicyPotatoNG;
EfsPotato;
PetitPotam(法語“小河馬”)。
由Cortex XDR檢測和阻止的多個本地權限升級工具
MyComEop當研究人員分析了從Menagerie 2.0攻擊目標組織中恢復的幾個加載程序時,另一個發現引起了他們的注意。這些加載程序包括x和x.tmp文件的硬編碼字符串。當在調試器中執行這些加載程序時,它們成功地解密了它們的有效負載,揭示了另一個PoC LPE工具和後門,具有獨特的PDB路徑:
E:\git\MyComEopPower\MyComEopPipe\Build\Quantum.pdb;
E:\git\MyComEopPower\MyComEopPipe\Build\MyComEop.pdb;
在VirusTotal中搜索PDB路徑時,研究人員從另外兩個變體中發現了更顯著的元數據,如下圖所示。
從共享相同PDB路徑的另一個變體檢索的文件元數據
經過進一步研究,研究人員發現這是另一種很少見到的權限升級工具和後門,如下圖所示。
所述工具的硬編碼路徑
所述工具的後門日誌
新的攻擊在2023年4月,在監控與Menagerie 2.0相關的活動時,攻擊者部署了新修改的工具,並通過先前部署的web shell訪問受攻擊的環境,發現除了部署舊工具,還有更新的工具(如au.exe)。
攻擊者還通過執行net命令搜索iis_user是否存在。然後他們開始在%programdata%\x路徑中部署修改過的工具,這也是熟悉的攻擊套路。
他們部署的工具之一是GodPotato,如下圖所示,它是已知的LPE家族的另一個變體。這個工具也是公開可用的。
GodPotato工具截圖
研究人員觀察到的另一個工具是另一個自定義後門,如下圖所示。通過查看其PDB路徑D:\project\後門類\dllnc\exenc\x64\Release\exenc.pdb,它似乎是前面提到的DLLNC工具的一個新變體。這種變體側重於後門功能,而不是主要充當下載程序。
新後門的主要方法
總結“Menagerie2.0”活動針對網絡託管和IT公司已有兩年多的時間。研究人員認為這次活動是由之前的'Menagerie'活動演變而來的。這次攻擊的主要目標是濫用受攻擊的web服務器的資源以獲取經濟利益。正如ACSC之前報導的那樣,攻擊者在Menagerie 2.0中部署了多個挖礦程序。調查還顯示,隨著時間的推移,攻擊者擴大了他們的武器庫,並改進了他們的https來劫持合法網站。他們通過在受攻擊的大規模部署web shell,然後將其用作C2服務器。