當前位置:
首頁 > 新聞 > Emissary Panda攻擊:針對中東政府的Sharepoint伺服器

Emissary Panda攻擊:針對中東政府的Sharepoint伺服器

摘要

2019年4月,Unit 42觀察到Emissary Panda(又名APT27、TG-3390、Bronze Union、Lucky Mouse)威脅組織通過在Sharepoint伺服器上安裝webshell來攻擊中東兩個國家的政府機構。此次攻擊利用了Microsoft SharePoint的漏洞CVE-2019-0604,這是一個遠程代碼執行漏洞,已於近期修補。在攻陷了Sharepoint伺服器並安裝好webshell後,Emissary Panda會上傳了一些工具執行某些活動,例如轉儲憑證,或是定位轉移到網路上的其他系統。特別值得注意的是,攻擊者還會偵查目標系統是否包含漏洞CVE-2017-0144,該漏洞曾被「永恆之藍」利用過,在2017年WannaCry攻擊中造成了巨大的破壞和影響。

除此之外,Emissary Panda還通過webshell上傳一些合法的可執行文件,通過DLL側載入來運行惡意DLL。我們還在SharePoint伺服器上找到了「中國菜刀」(China Chopper)webshell,它也被Emissary Panda威脅組織所使用。

在本篇文章中,我們將說明在這些受感染的SharePoint伺服器上觀察到的工具和攻擊策略,並解釋它們與Emissary Panda的關聯性。

攻擊概述

2019年4月1日至2019年4月16日,我們在兩個不同的政府組織託管的三個SharePoint伺服器上發現了webshell活動的痕迹,攻擊者在這三個SharePoint伺服器上上傳了共24個可執行文件。圖1顯示了文件上載的時間軸,三種顏色分別表示三個webshell,圖中的標籤則是對應的上傳文件,其中前兩個webshell活動時間間隔較短,到了4月16日才開始出現第三個webshell的身影。上傳文件大多是相同的,表明很可能是同一組織所為。

上傳到webshell的工具從合法的應用程序(如cURL)到後期開發工具(如Mimikatz)不等,還有用於掃描和利用網路中潛在漏洞的工具,例如SMB補丁MS17-010中修補的漏洞CVE-2017-0144就是被檢索的對象之一,該漏洞常被EternalBlue利用,能橫向移動到網路上的其他系統。我們還觀察到,上傳的文件中還有HyperBro之類的自定義後門,HyperBro通常與Emissary Panda有關。

Webshell安裝

如前所述,我們在兩個不同組織託管的三個SharePoint伺服器中發現了webshell,其中兩個具有相同的文件名errr.aspx,另一個文件名為error2.aspx。webshell託管在受感染伺服器上的以下路徑中:

/_layouts/15/error2.aspx

/_layouts/15/errr.aspx

我們收集了攻擊者與error2.aspx交互的信息。error2.aspx(SHA256:006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38)是Antak webshell的變體,Antak webshell是紅隊工具Nishang的一部分。Antak在error2.aspx中的特定變體是v0.5.0版,含有一些基本的身份驗證功能和執行SQL查詢的功能,它可能是攻擊者在Nishang GitHub存儲庫()或SecWiki的GitHub中獲得的。圖2顯示了在其中一個Sharepoint伺服器上載入的Antak webshell。

除了Antak webshell之外,Sharepoint伺服器還安裝了其他幾個webshell,如stylecs.aspx,stylecss.aspx和test.aspx(見表1),似乎都與China Chopper webshell相關。我們不能確定是否這些webshell都是由相同的攻擊者安裝的,因為SharePoint伺服器可能已被多個攻擊者利用過。與China Chopper相關的webshell是一行JScript代碼,攻擊者能輕鬆複製使用;Antak webshell則可從公開訪問的存儲庫中獲取。但讓我們將其歸因於Emissary Panda組織一個重要線索就是Antak webshell中同時出現China Chopper以及Emissary Panda的自定義payload,因為該組織過去也曾使用過China Chopper來破壞伺服器的案例。

stylecs.aspx webshell提供了相當重要的功能,它能運行HTTP請求中提供的任何JScript代碼。圖3顯示了stylecs.aspx的代碼,它將在參數為e358efa489f58062f10dd7316b65649e中的URL中運行base64編碼的JScript。參數e358efa489f58062f10dd7316b65649e是字母"t"的MD5哈希值,也是China Chopper的已知參數。

stylecss.aspx webshell與stylecs.aspx非常相似,它運行參數為e358efa489f58062f10dd7316b65649e的URL中的JScript; stylecss.aspx webshell不接受base64編碼的JScript,而是需要明文形式的JScript。圖4顯示了stylecss.aspx中的代碼,與上面的圖3相比,它缺少base64解碼函數"FromBase64String"。

在Sharepoint伺服器提取的最後一個webshell的文件名為test.aspx,它與stylecs.aspx webshell非常相似,也是運行請求的URL中提供的base64編碼的JScript,但是該腳本需要受感染組織的相關參數來獲取,腳本會在在瀏覽器中運行和顯示。test.aspx shell還包含將HTTP響應狀態設置為「404 Not Found」的代碼,能在顯示錯誤頁面的同時在後台運行JScript。圖5顯示了test.aspx文件中的代碼。

歸因

2019年4月,數個國家的安全組織發布了有關CVE-2019-0604漏洞利用的警報,沙烏地阿拉伯和加拿大的國家網路安全中心都報告了威脅組織利用CVE-2019-0604入侵SharePoint伺服器並安裝China Chopper webshell的事件,而此次觀察到的SharePoint伺服器上託管的webshell代碼和上述報備的存在一定重疊。

沙烏地阿拉伯國家網路安全中心對之前的攻擊事件有做詳細說明,也列出了China Chopper webshell的相關代碼,有個細節是Request.Item [「t」]從URL的"t"參數中獲取JScript代碼,跟我們上文的描述一致——e358efa489f58062f10dd7316b65649e是"t"的MD5哈希值,而此次stylecs.aspx和stylecss.aspx也都使用了該參數,說明威脅行為者在看到報告之後,在不改變功能的基礎上對他們的腳本做了略微修改,此外,之前的報告中也提到過有個名為stylecss.aspx的webshell,這與我們看到的與China Chopper相關的文件名相同。

而加拿大網路安全中心提供了該活動相關文件的SHA256哈希值,其中一個名為pay.aspx的文件的哈希為05108ac3c3d708977f2d679bfa6d2eaf63b371e66428018a68efce4b6a45b4b4。 pay.aspx文件是China Chopper webshell的一部分,與我們上面討論過的stylecss.aspx webshell非常相似,唯一的主要區別是pay.aspx webshell通過URL中"vuiHWNVJAEF"參數獲取並運行JScript。下面的圖6顯示了stylecss.aspx和pay.aspx文件之間的差異。

圖6.加拿大網路安全中心提供的的stylecss.aspx webshell和現在的pay.aspx webshell之間的比較

上傳工具

我們搜集了上傳到三個webshell中的工具,如圖7所示,幾起行動之間的工具使用有一定重疊,其中之一就是合法的cURL應用程序;還有用來定位網路上系統的工具(etool.exe),以檢查系統是否有MS07-010(checker1.exe)補丁;還有一個類似PsExec的遠程執行工具——Impacket (psexec.exe)。這些工具雖然不是攻擊者原創的,但也能體現活動間的關聯性。我們還觀察到其中一個webshell上傳了HyperBro後門和合法的可執行文件,這些可執行文件載入的惡意DLL代碼也能關聯到之前的Emissary Panda活動。

error2.aspx webshell中有10個可移植的可執行文件,如表2所示。上傳到此webshell的工具列表包括:cURL和用於載入惡意DLL的Sublime Text組件的合法應用程序;還包括幾個黑客工具,例如用於憑據轉儲的Mimikatz,和幾個用於定位和危害本地網路上其他系統編譯python腳本;以及一個名為HyperBro的自定義後門。

上傳到errr.aspx webshell的工具有17個,託管在另一個政府組織的SharePoint伺服器上,如圖8所示(中間部分),工具詳情參見表3。

errr.aspx webshell中有兩個工具——zzz_exploit.py和checker.py,如果系統沒有MS17-010補丁,會被攻擊者用於遠程控制。此外,使用Mimikatz和pwdump工具表明攻擊者試圖在受感染的系統上轉儲憑據。我們能夠收集攻擊者用來運行SMB後門smb1.exe的命令行參數,參數顯示攻擊者會通過SMB後門使用域用戶名和帳戶的密碼哈希在遠程主機上運行批處理腳本m.bat:

c:\programdata\smb1.exe \ : winsk c:\programdata\m.bat

上傳到errr.aspx webshell的可移植可執行文件數量上要少得多,表4中列出了它的3個文件,包含了相同的編譯python腳本,可以掃描易受CVE-2017- 0144攻擊的遠程系統,此外還有一個合法的Microsoft應用程序,能載入惡意DLL。

Emissary Panda專屬工具

上傳到這些webshell的許多工具都是可公開訪問的黑客工具,但有幾個工具可能是Emissary Panda的專屬工具。

HyperBro

上傳到error2.aspx webshell的s.exe(SHA256:04f48ed27a83a57a971e73072ac5c769709306f2714022770fb364fd575fd462)是一個自解壓7-zip存檔,屬於HyperBro後門之一。HyperBro是Emissary Panda在其攻擊活動中開發和使用的一個定製後門,它使用合法的pcAnywhere應用程序來側載入DLL,解密、解壓並運行嵌入在名為「thumb.db」的文件中的payload。表5顯示了與此HyperBro樣本關聯的三個文件(SHA256哈希:34a542356ac8a3f6e367c6827b728e18e905c71574b3813f163e043f70aa3bfa和2144aa68c7b2a6e3511e482d6759895210cf60c67f14b9485a0236af925d8233)。

payload是於2019-03-11 02:23:54編譯的DLL文件,它具有兩個功能,具體取決於二進位文件的命令行參數是-daemon還是-worker。守護進程(daemon)處理木馬的C2通信部分,並使用以下URL通過HTTPS與185.12.45 [.] 134進行通信:

hxxps://185.12.45134[]:443/ AJAX

工作進程(worker)的功能是從C2伺服器接收數據,伺服器通過名為「\\.\ pipe \ testpipe」的管道從守護進程傳遞給工作進程。攻擊者將接收到的數據置於命令處理程序中,命令處理程序的可用命令列於表6中。

未知的側載入Payload

表2和表4中列出了兩個用於DLL側載入的合法可執行文件,分別是Sublime Text的plugin_host.exe應用程序和Microsoft System Center 2012 Configuration Manager的CreateMedia.exe應用程序。plugin_host.exe從名為python33的庫中導入多個函數來載入名為PYTHON33.dll的惡意DLL,CreateMedia.exe應用程序從名為CreateTsMediaAdm的庫中導入多個函數來載入名為CreateTsMediaAdm.dll的惡意DLL。這兩者我們在之前的行動中未曾見到過。

PYTHON33.dll和CreateTsMediaAdm.dll庫的BinDiff相似度為97%,置信度為99%。圖8中顯示了PYTHON33.dll(右)和CreateTsMediaAdm.dll(左)解密常式的代碼差異:兩者都使用8位元組的XOR密鑰來解密一段shikata_ga_nai的混淆shellcode。shellcode負責修補合法應用程序的入口點,以調用shellcode中的另一個函數,該函數負責載入具有擴展名為.hlp的庫名稱的文件(PYTHON33.hlp或CreateTsMediaAdm.hlp)。

遺憾的是,我們無法訪問PYTHON33.hlp或CreateTsMediaAdm.hlp文件,因此我們不知道這兩個DLL載入的最終payload。然而,通過NCC Group在2018年5月發布的研究,我們能夠發現這些DLL與運行SCCUpdate工具的側載入DLL之間的代碼有重疊,而NCC Group也與Emissary Panda活動相關聯。圖9顯示了PYTHON33.dll(右)和inicore_v2.3.30.dll(左)(SHA256:4d65d371a789aabe1beadcc10b38da1f998cd3ec87d4cc1cfbf0af014b783822)之間的代碼比較,後者在先前的Emissary Panda活動中被側載入運行SysUpdate工具。下面重疊的代碼包含了相同的技術——找到載入可執行文件的入口點,並解密用於修補入口點的第一個shellcode。

結論

Emissary Panda威脅組織通過在Sharepoint伺服器上安裝webshell來攻擊中東兩個國家的政府機構。此次攻擊利用了Microsoft SharePoint的遠程代碼執行漏洞CVE-2019-0604,這個漏洞是在2019年3月12日修復的,而我們在2019年4月1日首次看到了webshell活動。這表明,該威脅組織能夠迅速利用已知的漏洞,利用面向Internet的伺服器訪問目標網路。

一旦攻擊者在目標網路上建立了立足點,他們就會使用China Chopper和其他webshell將工具上傳到SharePoint伺服器,進行憑據轉儲、網路偵察,並利用MS17-010中修補的CVE-2017-0144(EternalBlue)漏洞轉移到網路上的其他系統。我們還觀察到可以側載入DLL的合法工具——Sublime Text plugin host和Microsoft的Create Media應用程序,這兩者都是我們之前從未見過用於DLL側載入的應用程序。

IOCs

Webshells SHA256

2feae7574a2cc4dea2bff4eceb92e3a77cf682c0a1e78ee70be931a251794b86

6b3f835acbd954af168184f57c9d8e6798898e9ee650bd543ea6f2e9d5cf6378

Malicious HackTools and Payloads SHA256

d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333

a18326f929229da53d4cc340bde830f75e810122c58b523460c8d6ba62ede0e5

4a26ec5fd16ee13d869d6b0b6177e570444f6a007759ea94f1aa18fa831290a8

475c7e88a6d73e619ec585a7c9e6e57d2efc8298b688ebc10a3c703322f1a4a7

c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e

d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333

HyperBro C2

hxxps://185.12.45[.]134:443/ajax

185.12.45[.]134

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

DEF CON China 1.0 Village一日游
JasperLoader:主攻義大利的惡意軟體載入器

TAG:嘶吼RoarTalk |