返回
快讯

OP-512以自定义Web Shell框架攻击IIS

研究人员发现一个此前未披露的威胁集群 OP-512,正针对 Microsoft IIS 服务器投放定制 web shell 框架。ReliaQuest 认为其很可能与中国相关的间谍活动有关。受影响环境包括运行旧版、已不受支持软件的对外 IIS 服务器。建议组织加强检测、排查异常 Web Shell 与 DNS/HTTP 回连,并升级受支持组件。

网络安全研究人员发现了一个此前未披露的威胁集群,代号 OP-512(其中“OP”代表“opponent”),该集群被观察到针对 Microsoft Internet Information Services (IIS) 服务器部署一套专门定制的 web shell 框架。

ReliaQuest 以中到高置信度评估,这一以间谍活动为重点的行为与中国有关。

该公司在与 The Hacker News 分享的一份报告中表示:“OP-512 很可能通过某组织的一台已被入侵的 Internet Information Services (IIS) Web 服务器开展间谍活动;该组织所属行业和地理位置都与中国相关情报优先事项相符。”

尽管目前尚未发现 OP-512 与其他已知、与中国相关的对手之间存在重叠,但在过去 12 个月里,它是第四个专门盯上 IIS Web 服务器的此类威胁组织,前面三个分别是 CL-STA-0048、DragonRank 和 GhostRedirector。就在上个月,Cisco Talos 还披露,多个会说中文的网络犯罪组织正在共享一种名为 BadIIS 的恶意软件变种,用于感染 IIS 服务器。

IIS 服务器也曾被 SHADOW-EARTH-053 作为新一轮与中国相关的间谍活动的一部分所针对,该活动的目标是南亚、东亚和东南亚的政府与国防部门。

OP-512 行动的核心是一套定制 web shell 框架,由三个 web shell 组成,可为攻击者提供对被入侵主机的远程访问,同时通过时戳伪造(timestomping)等技术规避基于特征的检测,并通过故意篡改 web shell 工件创建或修改时间来干扰取证时间线。

具体而言,这套框架会扫描 web shell 所在位置周围的每个文件和子文件夹,计算最后修改时间的中位数,然后将自身的创建时间和修改时间覆盖为该数值,从而营造出这些文件已存在一段时间的假象。

ReliaQuest 表示:“这个框架把我们很少同时见到的能力结合在一起:每次部署都会唯一生成,访问通过密码学控制仅限攻击者本人,而且受感染服务器会自动回传,便于在大规模上集中管理。”

OP-512 与 CL-STA-0048 在战术上高度接近,这使得一种可能性浮现:它要么是一个已存在、但彻底更换工具集的集群,要么是独立开发出了这些能力。无论其来源如何,该黑客组织被认为是一个独立运作的不同集群。

在该公司观察到的攻击中,威胁行为者被发现针对一台运行 Windows Server 2016、且使用已到生命周期终点(end-of-life)的 .NET Framework 4.0 的旧版 IIS 服务器。证据显示,在主事件发生前约 75 天,同一主机上曾有过先前活动,涉及对另一个由攻击者控制的域名("ashx.lhlsjcb[.]com")的 DNS 查询。

数周后展开的一系列操作被描述为一次“sprint”,攻击者利用 Web 服务器的工作进程("w3wp.exe")将其中一个 web shell 投放到应用程序的上传目录。随后,这会触发一个自我报告机制,该机制使用 DNS 查询或 HTTP 请求作为备用方式,将 web shell 的位置传送到攻击者控制的域名。

ReliaQuest 研究人员解释说:“这三个 web shell 合在一起,为攻击者提供了文件管理、通过两条独立访问路径进行的已认证命令执行,以及自动化的入侵回报,而且这一切都发生在任何人来得及响应之前。”

在部署 web shell 后,OP-512 据称还尝试使用 Potato Suite 将权限提升到 SYSTEM 级别,随后运行诸如 "whoami /priv" 之类的命令来确认其系统权限。

ReliaQuest 表示:“在不到一年的时间里,有四个与中国相关的集群针对同一种技术,这不太可能只是巧合。面向互联网、运行旧版且不受支持软件的 IIS 服务器,仍然是这个威胁生态中首选的初始 प्रवेश点,而且看起来没有放缓迹象。”

“最值得防御者警惕的是 OP-512 的不同之处。这个威胁集群并没有使用现成工具然后在各次行动中反复复用。它使用的是一套专门构建的框架,旨在击败对另外三个集群有效的检测方法。那些已经围绕已知对手调优防御措施的组织,很可能并没有覆盖到这里。”