中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

神秘APT組織鎖定(IIS)Web服務(wù)器,擅長規(guī)避惡意軟件檢測

2022-10-09    分類: 網(wǎng)站建設(shè)

神秘APT組織鎖定(IIS)Web服務(wù)器,擅長規(guī)避惡意軟件檢測

PrayingMantis(螳螂)組織很可能是一個使用自定義惡意軟件并擅長躲避檢測的民族國家惡意行為者。

近日研究人員發(fā)現(xiàn),在過去一年間,一個復(fù)雜的且極可能由國家民族支持的威脅行為者一直在利用面向公眾的ASP.NET應(yīng)用程序中的反序列漏洞來部署無文件惡意軟件,從而危害一些主要的公共和私營組織。

事件響應(yīng)公司Sygnia的研究人員將該組織命名為“Praying Mantis”或 TG1021。據(jù)悉,該黑客組織通過使用專為Internet信息服務(wù) (IIS) Web服務(wù)器構(gòu)建的自定義惡意軟件工具集來執(zhí)行憑據(jù)收集、偵察和橫向移動任務(wù)。除此之外,該組織還在規(guī)避惡意軟件檢測方面做了很大的努力。

Sygnia研究人員在一份詳細(xì)報告中稱:

“活動的性質(zhì)及其作案手法表明TG1021是一位經(jīng)驗豐富的威脅組織,并且高度了解 OPSEC(操作安全)。TG1021使用的惡意軟件通過主動干擾日志記錄機(jī)制、成功規(guī)避商業(yè)EDR以及靜默等待傳入連接,而不是連接回C2通道并持續(xù)生成流量,顯示了其在避免檢測方面做出的重大努力。此外,攻擊者在使用后主動刪除了所有磁盤駐留工具,有效地放棄了持久性以換取隱匿性。”

新舊反序列化漏洞利用

 

在編程中,序列化是將數(shù)據(jù)轉(zhuǎn)換為字節(jié)流的過程,通常通過網(wǎng)絡(luò)傳輸。反序列化即該過程的逆向,就像軟件中的大多數(shù)數(shù)據(jù)解析操作一樣,如果用戶控制輸入,它可能成為漏洞的來源。不安全的反序列化漏洞多年來一直困擾著Java應(yīng)用程序,但Java并不是唯一一種反序列化常用的編程語言。

Praying Mantis利用的漏洞就是針對ASP.NET中的反序列化實(shí)現(xiàn),ASP.NET是一種用于開發(fā)托管在Windows IIS Web服務(wù)器上的Web應(yīng)用程序的開源框架。ASP.NET有一種稱為“VIEWSTATE”的機(jī)制,框架使用它來存儲在POST請求期間發(fā)送到客戶端時網(wǎng)頁的狀態(tài)和控件。它被存儲成名為“ _VIEWSTATE”的隱藏輸入字段。當(dāng)客戶端執(zhí)行POST操作并將頁面發(fā)送回服務(wù)器時,VIEWSTATE被反序列化和驗證。ASP.NET提供了一些安全性和完整性檢查機(jī)制來確保序列化數(shù)據(jù)有效,但它們的正確使用需要?dú)w結(jié)于開發(fā)人員的實(shí)現(xiàn)。

研究人員發(fā)現(xiàn),Praying Mantis利用了一個Checkbox Survey遠(yuǎn)程代碼執(zhí)行(RCE)漏洞(CVE-2021-27852),Checkbox應(yīng)用程序允許網(wǎng)站所有者實(shí)施用戶調(diào)查。據(jù)悉,在該組織發(fā)起攻擊時,該RCE漏洞還處于0-day狀態(tài),并且影響了Checkbox V6及更早版本。盡管 Checkbox V7 自2019 年開始可用且不受影響,但對Checkbox V6 的官方支持直到7月1日才結(jié)束。

CERT/CC的分析師在 5 月份的一份咨詢中表示:

“在7.0 版本之前,Checkbox Survey 通過接受一個_VSTATE 參數(shù)來實(shí)現(xiàn)它自己的VIEWSTATE 功能,然后使用LosFormatter反序列化。由于該數(shù)據(jù)由Checkbox Survey代碼手動處理,因此服務(wù)器上的 ASP.NET VIEWSTATE 消息身份驗證代碼(MAC)設(shè)置就被忽略了。沒有MAC,攻擊者可以創(chuàng)建將被反序列化的任意數(shù)據(jù),從而導(dǎo)致任意代碼執(zhí)行。”

Praying Mantis組織似乎對反序列漏洞有著非常深刻地認(rèn)識,他們在攻擊活動中以多種方式利用該機(jī)制進(jìn)行橫向移動和持久化。例如,即使新版本的ASP.NET支持 VIEWSTATE 完整性檢查和加密,但如果加密和驗證密鑰被盜或泄露,它們也可被用于重新感染服務(wù)器或感染同一集群中托管同一應(yīng)用程序的其他服務(wù)器,因為密鑰是共享的。

研究人員表示,“在Sygnia的一項調(diào)查中,TG1021利用被盜的解密和驗證密鑰來利用IIS Web 服務(wù)器。VIEWSTATE反序列化漏洞利用的流程幾乎與上面解釋的VSTATE漏洞相同,只是調(diào)整了對VIEWSTATE數(shù)據(jù)進(jìn)行加密和簽名,而不是對其進(jìn)行壓縮。”

該小組還利用了依賴于序列化的會話存儲機(jī)制。ASP.NET允許應(yīng)用程序?qū)⒂脩魰捵鳛樾蛄谢瘜ο蟠鎯υ贛SSQL數(shù)據(jù)庫中,然后為它們分配唯一的cookie。當(dāng)用戶的瀏覽器再次訪問應(yīng)用程序并保存了其中一些cookie時,應(yīng)用程序?qū)臄?shù)據(jù)庫中加載相應(yīng)的會話對象并將其反序列化。

攻擊者利用此功能進(jìn)行橫向移動,方法是使用對IIS Web服務(wù)器(受到上述漏洞影響而受損)的訪問權(quán)限,以生成惡意會話對象和關(guān)聯(lián)的cookie,并將其存儲在Microsoft SQL 數(shù)據(jù)庫中。然后,他們將請求發(fā)送到屬于同一基礎(chǔ)結(jié)構(gòu)并使用同一數(shù)據(jù)庫的其他IIS服務(wù)器,并在請求中包含惡意cookie。這迫使運(yùn)行在這些服務(wù)器上的應(yīng)用程序?qū)嵗龔臄?shù)據(jù)庫加載惡意制作的會話對象并將其反序列化,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)。

研究人員還觀察到Praying Mantis利用其他應(yīng)用程序中的反序列化漏洞,例如 CVE-2019-18935,這也是一個 RCE 漏洞,源于JSON解析中的不安全反序列化,并影響名為 Telerik UI for ASP.NET AJAX 的產(chǎn)品。Telerik是一套廣泛用于Web應(yīng)用程序的用戶界面組件。此外,該組織還使用了另外一個影響Telerik的較舊的任意文件上傳漏洞(CVE-2017-11317)。

為IIS量身定制的惡意軟件框架

 

黑客利用這些RCE漏洞反射性地將惡意DLL加載到易受攻擊的Web服務(wù)器的內(nèi)存中。然后,這個DLL又反射性地加載了一個惡意軟件組件。反射加載是一種將惡意DLL注入現(xiàn)有進(jìn)程并Hook其功能的技術(shù)。這種技術(shù)的好處是某些Windows機(jī)制(例如在運(yùn)行時將DLL注冊為模塊)被繞過,并且文件實(shí)際上并未寫入磁盤;缺點(diǎn)是感染缺乏持久性,由于流氓DLL僅存在于RAM中,因此如果重新啟動其父進(jìn)程(parent process),它將消失。由于這種網(wǎng)絡(luò)服務(wù)器的正常運(yùn)行時間很長,因此用持久性換取隱匿性是一種有效的手段。

除了反射DLL加載器,Praying Mantis有時還使用web shell來加載 NodeIISWeb。當(dāng)該組織利用CVE-2017-11317等文件上傳漏洞而非基于反序列化的遠(yuǎn)程代碼執(zhí)行漏洞時,這種情況更為常見,因為web shell本質(zhì)上是上傳到服務(wù)器文件系統(tǒng)的惡意web 腳本/應(yīng)用程序,可通過HTTP遠(yuǎn)程訪問。Praying Mantis的web shell通常是短暫存在的,在部署NodeIISWeb后,該組織會立即刪除它們。

NodeIISWeb惡意軟件與IIS 輸入驗證功能掛鉤,可以讀取所有傳入服務(wù)器的HTTP流量,這為攻擊者提供了一種控制惡意軟件的方法。由于攻擊者可以通過這種HTTP機(jī)制發(fā)送指令,因此NodeIISWeb不會生成傳往可能被流量監(jiān)控解決方案檢測到的命令和控制服務(wù)器的傳出連接。

也就是說,惡意軟件程序為TCP、HTTP 和SQL實(shí)現(xiàn)了多種流量轉(zhuǎn)發(fā)方法,允許其作為代理或命令和控制通道本身,用于運(yùn)行在同一網(wǎng)絡(luò)內(nèi)受感染服務(wù)器上的其他惡意軟件實(shí)例,而這些實(shí)例可能不是直接暴露在互聯(lián)網(wǎng)上。它還可以執(zhí)行JScript負(fù)載并加載擴(kuò)展其功能的其他DLL模塊。

NodeIISWeb通常用于部署另一個名為“ExtDLL.dll”的自定義Windows 后門,該后門可用于操作文件和目錄、收集系統(tǒng)信息、加載和執(zhí)行DLL并實(shí)施各種攻擊技術(shù),例如代碼注入和令牌操作。該組件還hook并操縱系統(tǒng)上存在的各種安全功能以隱藏其活動,包括防病毒掃描功能、事件日志報告功能、.NET代碼信任檢查和PowerShell相關(guān)的注冊表項。

NodeIISWeb和ExtDLL.dll加載的附加DLL模塊之一稱為“PSRunner.dll”,它允許在主機(jī)上運(yùn)行PowerShell腳本,而無需生成PowerShell進(jìn)程。另一個稱為“Forward.dll”,可以實(shí)現(xiàn)HTTP流量轉(zhuǎn)發(fā)功能。“PotatoEx.dll”是權(quán)限提升工具和Active Directory映射工具,而“E.dll”是生成自定義HTTP響應(yīng)的組件,允許攻擊者驗證漏洞是否已在目標(biāo)IIS服務(wù)器上成功執(zhí)行。

Praying Mantis利用其對受感染IIS服務(wù)器的訪問權(quán)限,來修改現(xiàn)有應(yīng)用程序的登錄頁面,以捕獲用戶憑據(jù),并將其保存在單獨(dú)的文件中,還部署了公開可用的攻擊性安全工具,包括直接加載到內(nèi)存中而不留痕跡的SharpHound和PowerSploit。該組織還被發(fā)現(xiàn)使用泄露的域憑據(jù)通過SMB訪問內(nèi)部服務(wù)器上的共享文件夾。

Praying Mantis檢測和預(yù)防

 

由于其內(nèi)存駐留惡意軟件的易失性,以及該組織對操作安全的深刻認(rèn)識,想要檢測Praying Mantis的活動并不容易。Sygnia 研究人員建議修補(bǔ).NET反序列化漏洞,搜索報告中發(fā)布的危害指標(biāo),使用旨在檢測該組織工具的YARA規(guī)則掃描面向Internet的IIS服務(wù)器,并積極尋找IIS環(huán)境中的可疑活動。

驗證ASP.NET VIEWSTATE的使用或相同機(jī)制的自定義實(shí)現(xiàn)(如 Checkbox Survey中的壓縮 VSTATE)對于保護(hù)ASP.NET應(yīng)用程序免受VIEWSTATE反序列化漏洞影響至關(guān)重要。IIS配置中的enableViewStateMac變量應(yīng)設(shè)置為“True”,而aspnet:AllowInsecureDeserialization變量應(yīng)設(shè)置為“False”。注冊表項AspNetEnforceViewStateMac應(yīng)設(shè)置為“1”,并應(yīng)小心處理加密和驗證鍵。服務(wù)器應(yīng)使用自動生成的密鑰或者IIS服務(wù)器上的機(jī)器密鑰應(yīng)定期更換,以減少因密鑰被盜或泄露而被濫用的可能性。

研究人員表示:

“如果您的 Web 應(yīng)用程序使用ASP.NET會話狀態(tài),請確保只能從合法的網(wǎng)絡(luò)位置訪問數(shù)據(jù)庫。盡可能在不同的IIS服務(wù)器/Web應(yīng)用程序之間分離會話狀態(tài)MSSQL數(shù)據(jù)庫,或者使用適當(dāng)?shù)淖钚RUD權(quán)限創(chuàng)建不同的SQL用戶。確保您的.NET Web應(yīng)用程序使用指定的應(yīng)用程序池標(biāo)識以盡可能低的權(quán)限運(yùn)行。這可以增加TG1021組織的攻擊難度。”

除了Sygnia發(fā)布的報告外,2020年6月,ACSC也發(fā)布了一份報告,詳細(xì)介紹了以澳大利亞公共和私營部門組織為目標(biāo)的國家支持的威脅組織“Copy-Paste”的策略、技術(shù)和程序。報告中稱Copy-Paste使用了各種反序列化的利用,特別是Microsoft IIS服務(wù)器中的Telerik UI漏洞和VIEWSTATE處理。這與Sygnia觀察到的Praying Mantis活動存在部分重疊的妥協(xié)和攻擊技術(shù)指標(biāo)。兩者是否存在聯(lián)系,暫未可知。

網(wǎng)站名稱:神秘APT組織鎖定(IIS)Web服務(wù)器,擅長規(guī)避惡意軟件檢測
當(dāng)前網(wǎng)址:http://www.rwnh.cn/news25/204025.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、網(wǎng)站內(nèi)鏈虛擬主機(jī)、網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)
盐源县| 新闻| 铜陵市| 阿合奇县| 金平| 和林格尔县| 白玉县| 博罗县| 渝中区| 普格县| 揭西县| 四川省| 元朗区| 托克托县| 新干县| 弋阳县| 南投市| 阿尔山市| 滦南县| 铜梁县| 金山区| 广南县| 平山县| 宣武区| 彭阳县| 银川市| 黔西县| 康乐县| 东台市| 建平县| 沙湾县| 和政县| 蛟河市| 化隆| 河曲县| 肇州县| 高雄县| 商河县| 比如县| 若尔盖县| 道孚县|