神秘APT組織鎖定(IIS)Web服務器，擅長規(guī)避惡意軟件檢測

PrayingMantis(螳螂)組織很可能是一個使用自定義惡意軟件并擅長躲避檢測的民族國家惡意行為者。

近日研究人員發(fā)現(xiàn)，在過去一年間，一個復雜的且極可能由國家民族支持的威脅行為者一直在利用面向公眾的ASP.NET應用程序中的反序列漏洞來部署無文件惡意軟件，從而危害一些主要的公共和私營組織。

事件響應公司Sygnia的研究人員將該組織命名為“Praying Mantis”或 TG1021。據(jù)悉，該黑客組織通過使用專為Internet信息服務 (IIS) Web服務器構建的自定義惡意軟件工具集來執(zhí)行憑據(jù)收集、偵察和橫向移動任務。除此之外，該組織還在規(guī)避惡意軟件檢測方面做了很大的努力。

Sygnia研究人員在一份詳細報告中稱：

“活動的性質(zhì)及其作案手法表明TG1021是一位經(jīng)驗豐富的威脅組織，并且高度了解 OPSEC(操作安全)。TG1021使用的惡意軟件通過主動干擾日志記錄機制、成功規(guī)避商業(yè)EDR以及靜默等待傳入連接，而不是連接回C2通道并持續(xù)生成流量，顯示了其在避免檢測方面做出的重大努力。此外，攻擊者在使用后主動刪除了所有磁盤駐留工具，有效地放棄了持久性以換取隱匿性。”

新舊反序列化漏洞利用

 

在編程中，序列化是將數(shù)據(jù)轉換為字節(jié)流的過程，通常通過網(wǎng)絡傳輸。反序列化即該過程的逆向，就像軟件中的大多數(shù)數(shù)據(jù)解析操作一樣，如果用戶控制輸入，它可能成為漏洞的來源。不安全的反序列化漏洞多年來一直困擾著Java應用程序，但Java并不是唯一一種反序列化常用的編程語言。

Praying Mantis利用的漏洞就是針對ASP.NET中的反序列化實現(xiàn)，ASP.NET是一種用于開發(fā)托管在Windows IIS Web服務器上的Web應用程序的開源框架。ASP.NET有一種稱為“VIEWSTATE”的機制，框架使用它來存儲在POST請求期間發(fā)送到客戶端時網(wǎng)頁的狀態(tài)和控件。它被存儲成名為“ _VIEWSTATE”的隱藏輸入字段。當客戶端執(zhí)行POST操作并將頁面發(fā)送回服務器時，VIEWSTATE被反序列化和驗證。ASP.NET提供了一些安全性和完整性檢查機制來確保序列化數(shù)據(jù)有效，但它們的正確使用需要歸結于開發(fā)人員的實現(xiàn)。

研究人員發(fā)現(xiàn)，Praying Mantis利用了一個Checkbox Survey遠程代碼執(zhí)行(RCE)漏洞(CVE-2021-27852)，Checkbox應用程序允許網(wǎng)站所有者實施用戶調(diào)查。據(jù)悉，在該組織發(fā)起攻擊時，該RCE漏洞還處于0-day狀態(tài)，并且影響了Checkbox V6及更早版本。盡管 Checkbox V7 自2019 年開始可用且不受影響，但對Checkbox V6 的官方支持直到7月1日才結束。

CERT/CC的分析師在 5 月份的一份咨詢中表示：

“在7.0 版本之前，Checkbox Survey 通過接受一個_VSTATE 參數(shù)來實現(xiàn)它自己的VIEWSTATE 功能，然后使用LosFormatter反序列化。由于該數(shù)據(jù)由Checkbox Survey代碼手動處理，因此服務器上的 ASP.NET VIEWSTATE 消息身份驗證代碼(MAC)設置就被忽略了。沒有MAC，攻擊者可以創(chuàng)建將被反序列化的任意數(shù)據(jù)，從而導致任意代碼執(zhí)行。”

Praying Mantis組織似乎對反序列漏洞有著非常深刻地認識，他們在攻擊活動中以多種方式利用該機制進行橫向移動和持久化。例如，即使新版本的ASP.NET支持 VIEWSTATE 完整性檢查和加密，但如果加密和驗證密鑰被盜或泄露，它們也可被用于重新感染服務器或感染同一集群中托管同一應用程序的其他服務器，因為密鑰是共享的。

研究人員表示，“在Sygnia的一項調(diào)查中，TG1021利用被盜的解密和驗證密鑰來利用IIS Web 服務器。VIEWSTATE反序列化漏洞利用的流程幾乎與上面解釋的VSTATE漏洞相同，只是調(diào)整了對VIEWSTATE數(shù)據(jù)進行加密和簽名，而不是對其進行壓縮。”

該小組還利用了依賴于序列化的會話存儲機制。ASP.NET允許應用程序將用戶會話作為序列化對象存儲在MSSQL數(shù)據(jù)庫中，然后為它們分配唯一的cookie。當用戶的瀏覽器再次訪問應用程序并保存了其中一些cookie時，應用程序將從數(shù)據(jù)庫中加載相應的會話對象并將其反序列化。

攻擊者利用此功能進行橫向移動，方法是使用對IIS Web服務器(受到上述漏洞影響而受損)的訪問權限，以生成惡意會話對象和關聯(lián)的cookie，并將其存儲在Microsoft SQL 數(shù)據(jù)庫中。然后，他們將請求發(fā)送到屬于同一基礎結構并使用同一數(shù)據(jù)庫的其他IIS服務器，并在請求中包含惡意cookie。這迫使運行在這些服務器上的應用程序實例從數(shù)據(jù)庫加載惡意制作的會話對象并將其反序列化，從而導致遠程代碼執(zhí)行(RCE)。

研究人員還觀察到Praying Mantis利用其他應用程序中的反序列化漏洞，例如 CVE-2019-18935，這也是一個 RCE 漏洞，源于JSON解析中的不安全反序列化，并影響名為 Telerik UI for ASP.NET AJAX 的產(chǎn)品。Telerik是一套廣泛用于Web應用程序的用戶界面組件。此外，該組織還使用了另外一個影響Telerik的較舊的任意文件上傳漏洞(CVE-2017-11317)。

為IIS量身定制的惡意軟件框架

 

黑客利用這些RCE漏洞反射性地將惡意DLL加載到易受攻擊的Web服務器的內(nèi)存中。然后，這個DLL又反射性地加載了一個惡意軟件組件。反射加載是一種將惡意DLL注入現(xiàn)有進程并Hook其功能的技術。這種技術的好處是某些Windows機制(例如在運行時將DLL注冊為模塊)被繞過，并且文件實際上并未寫入磁盤;缺點是感染缺乏持久性，由于流氓DLL僅存在于RAM中，因此如果重新啟動其父進程(parent process)，它將消失。由于這種網(wǎng)絡服務器的正常運行時間很長，因此用持久性換取隱匿性是一種有效的手段。

除了反射DLL加載器，Praying Mantis有時還使用web shell來加載 NodeIISWeb。當該組織利用CVE-2017-11317等文件上傳漏洞而非基于反序列化的遠程代碼執(zhí)行漏洞時，這種情況更為常見，因為web shell本質(zhì)上是上傳到服務器文件系統(tǒng)的惡意web 腳本/應用程序，可通過HTTP遠程訪問。Praying Mantis的web shell通常是短暫存在的，在部署NodeIISWeb后，該組織會立即刪除它們。

NodeIISWeb惡意軟件與IIS 輸入驗證功能掛鉤，可以讀取所有傳入服務器的HTTP流量，這為攻擊者提供了一種控制惡意軟件的方法。由于攻擊者可以通過這種HTTP機制發(fā)送指令，因此NodeIISWeb不會生成傳往可能被流量監(jiān)控解決方案檢測到的命令和控制服務器的傳出連接。

也就是說，惡意軟件程序為TCP、HTTP 和SQL實現(xiàn)了多種流量轉發(fā)方法，允許其作為代理或命令和控制通道本身，用于運行在同一網(wǎng)絡內(nèi)受感染服務器上的其他惡意軟件實例，而這些實例可能不是直接暴露在互聯(lián)網(wǎng)上。它還可以執(zhí)行JScript負載并加載擴展其功能的其他DLL模塊。

NodeIISWeb通常用于部署另一個名為“ExtDLL.dll”的自定義Windows 后門，該后門可用于操作文件和目錄、收集系統(tǒng)信息、加載和執(zhí)行DLL并實施各種攻擊技術，例如代碼注入和令牌操作。該組件還hook并操縱系統(tǒng)上存在的各種安全功能以隱藏其活動，包括防病毒掃描功能、事件日志報告功能、.NET代碼信任檢查和PowerShell相關的注冊表項。

NodeIISWeb和ExtDLL.dll加載的附加DLL模塊之一稱為“PSRunner.dll”，它允許在主機上運行PowerShell腳本，而無需生成PowerShell進程。另一個稱為“Forward.dll”，可以實現(xiàn)HTTP流量轉發(fā)功能。“PotatoEx.dll”是權限提升工具和Active Directory映射工具，而“E.dll”是生成自定義HTTP響應的組件，允許攻擊者驗證漏洞是否已在目標IIS服務器上成功執(zhí)行。

Praying Mantis利用其對受感染IIS服務器的訪問權限，來修改現(xiàn)有應用程序的登錄頁面，以捕獲用戶憑據(jù)，并將其保存在單獨的文件中，還部署了公開可用的攻擊性安全工具，包括直接加載到內(nèi)存中而不留痕跡的SharpHound和PowerSploit。該組織還被發(fā)現(xiàn)使用泄露的域憑據(jù)通過SMB訪問內(nèi)部服務器上的共享文件夾。

Praying Mantis檢測和預防

 

由于其內(nèi)存駐留惡意軟件的易失性，以及該組織對操作安全的深刻認識，想要檢測Praying Mantis的活動并不容易。Sygnia 研究人員建議修補.NET反序列化漏洞，搜索報告中發(fā)布的危害指標，使用旨在檢測該組織工具的YARA規(guī)則掃描面向Internet的IIS服務器，并積極尋找IIS環(huán)境中的可疑活動。

驗證ASP.NET VIEWSTATE的使用或相同機制的自定義實現(xiàn)(如 Checkbox Survey中的壓縮 VSTATE)對于保護ASP.NET應用程序免受VIEWSTATE反序列化漏洞影響至關重要。IIS配置中的enableViewStateMac變量應設置為“True”，而aspnet:AllowInsecureDeserialization變量應設置為“False”。注冊表項AspNetEnforceViewStateMac應設置為“1”，并應小心處理加密和驗證鍵。服務器應使用自動生成的密鑰或者IIS服務器上的機器密鑰應定期更換，以減少因密鑰被盜或泄露而被濫用的可能性。

研究人員表示：

“如果您的 Web 應用程序使用ASP.NET會話狀態(tài)，請確保只能從合法的網(wǎng)絡位置訪問數(shù)據(jù)庫。盡可能在不同的IIS服務器/Web應用程序之間分離會話狀態(tài)MSSQL數(shù)據(jù)庫，或者使用適當?shù)淖钚RUD權限創(chuàng)建不同的SQL用戶。確保您的.NET Web應用程序使用指定的應用程序池標識以盡可能低的權限運行。這可以增加TG1021組織的攻擊難度。”

除了Sygnia發(fā)布的報告外，2020年6月，ACSC也發(fā)布了一份報告，詳細介紹了以澳大利亞公共和私營部門組織為目標的國家支持的威脅組織“Copy-Paste”的策略、技術和程序。報告中稱Copy-Paste使用了各種反序列化的利用，特別是Microsoft IIS服務器中的Telerik UI漏洞和VIEWSTATE處理。這與Sygnia觀察到的Praying Mantis活動存在部分重疊的妥協(xié)和攻擊技術指標。兩者是否存在聯(lián)系，暫未可知。

網(wǎng)站名稱：神秘APT組織鎖定(IIS)Web服務器，擅長規(guī)避惡意軟件檢測
當前網(wǎng)址：http://www.muchs.cn/news25/204025.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設計、網(wǎng)站建設、網(wǎng)站設計、網(wǎng)站內(nèi)鏈、虛擬主機、網(wǎng)站導航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)