欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Emissary Panda(ATP27)攻击:针对中东政府的Sharepoint服务器

来源:本站整理 作者:佚名 时间:2019-06-03 TAG: 我要投稿

2019年4月,Unit 42观察到Emissary Panda(又名APT27、TG-3390、Bronze Union、Lucky Mouse)威胁组织通过在Sharepoint服务器上安装webshell来攻击中东两个国家的政府机构。此次攻击利用了Microsoft SharePoint的漏洞CVE-2019-0604,这是一个远程代码执行漏洞,已于近期修补。在攻陷了Sharepoint服务器并安装好webshell后,Emissary Panda会上传了一些工具执行某些活动,例如转储凭证,或是定位转移到网络上的其他系统。特别值得注意的是,攻击者还会侦查目标系统是否包含漏洞CVE-2017-0144,该漏洞曾被“永恒之蓝”利用过,在2017年WannaCry攻击中造成了巨大的破坏和影响。
除此之外,Emissary Panda还通过webshell上传一些合法的可执行文件,通过DLL侧加载来运行恶意DLL。我们还在SharePoint服务器上找到了“中国菜刀”(China Chopper)webshell,它也被Emissary Panda威胁组织所使用。
在本篇文章中,我们将说明在这些受感染的SharePoint服务器上观察到的工具和攻击策略,并解释它们与Emissary Panda的关联性。
攻击概述
2019年4月1日至2019年4月16日,我们在两个不同的政府组织托管的三个SharePoint服务器上发现了webshell活动的痕迹,攻击者在这三个SharePoint服务器上上传了共24个可执行文件。图1显示了文件上载的时间轴,三种颜色分别表示三个webshell,图中的标签则是对应的上传文件,其中前两个webshell活动时间间隔较短,到了4月16日才开始出现第三个webshell的身影。上传文件大多是相同的,表明很可能是同一组织所为。

图1.三个webshell文件上传时间线
上传到webshell的工具从合法的应用程序(如cURL)到后期开发工具(如Mimikatz)不等,还有用于扫描和利用网络中潜在漏洞的工具,例如SMB补丁MS17-010中修补的漏洞CVE-2017-0144就是被检索的对象之一,该漏洞常被EternalBlue利用,能横向移动到网络上的其他系统。我们还观察到,上传的文件中还有HyperBro之类的自定义后门,HyperBro通常与Emissary Panda有关。
Webshell安装
如前所述,我们在两个不同组织托管的三个SharePoint服务器中发现了webshell,其中两个具有相同的文件名errr.aspx,另一个文件名为error2.aspx。webshell托管在受感染服务器上的以下路径中:
/_layouts/15/error2.aspx
 
/_layouts/15/errr.aspx
我们收集了攻击者与error2.aspx交互的信息。error2.aspx(SHA256:006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38)是Antak webshell的变体,Antak webshell是红队工具Nishang的一部分。Antak在error2.aspx中的特定变体是v0.5.0版,含有一些基本的身份验证功能和执行SQL查询的功能,它可能是攻击者在Nishang GitHub存储库()或SecWiki的GitHub中获得的。图2显示了在其中一个Sharepoint服务器上加载的Antak webshell。

图2.用于上传后期利用工具的Antak webshell'error2.aspx'
除了Antak webshell之外,Sharepoint服务器还安装了其他几个webshell,如stylecs.aspx,stylecss.aspx和test.aspx(见表1),似乎都与China Chopper webshell相关。我们不能确定是否这些webshell都是由相同的攻击者安装的,因为SharePoint服务器可能已被多个攻击者利用过。与China Chopper相关的webshell是一行JScript代码,攻击者能轻松复制使用;Antak webshell则可从公开访问的存储库中获取。但让我们将其归因于Emissary Panda组织一个重要线索就是Antak webshell中同时出现China Chopper以及Emissary Panda的自定义payload,因为该组织过去也曾使用过China Chopper来破坏服务器的案例。

表1. Sharepoint服务器上托管的其他webshell
stylecs.aspx webshell提供了相当重要的功能,它能运行HTTP请求中提供的任何JScript代码。图3显示了stylecs.aspx的代码,它将在参数为e358efa489f58062f10dd7316b65649e中的URL中运行base64编码的JScript。参数e358efa489f58062f10dd7316b65649e是字母't'的MD5哈希值,也是China Chopper的已知参数。

图3.stylecs.aspx webshell中的China Chopper的代码
stylecss.aspx webshell与stylecs.aspx非常相似,它运行参数为e358efa489f58062f10dd7316b65649e的URL中的JScript; stylecss.aspx webshell不接受base64编码的JScript,而是需要明文形式的JScript。图4显示了stylecss.aspx中的代码,与上面的图3相比,它缺少base64解码函数'FromBase64String'。

图4.stylecss.aspx webshell中找到的China Chopper代码
在Sharepoint服务器提取的最后一个webshell的文件名为test.aspx,它与stylecs.aspx webshell非常相似,也是运行请求的URL中提供的base64编码的JScript,但是该脚本需要受感染组织的相关参数来获取,脚本会在在浏览器中运行和显示。test.aspx shell还包含将HTTP响应状态设置为“404 Not Found”的代码,能在显示错误页面的同时在后台运行JScript。图5显示了test.aspx文件中的代码。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载