2020-02-19 11:57:00 黑客視界

2019年4月，網絡安全公司Palo Alto Networks旗下Unit 42威脅研究團隊首先觀察到黑客組織“熊貓使者（Emissary Panda）”利用CVE-2019-0604漏洞在兩個中東國家政府機構的SharePoint服務器上安裝了多個webshell（以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，可視為一種網頁後門）。

藉助已安裝的webshell，該組織通過使用Mimikatz（由法國人Gentil Kiwi編寫的一款系統密碼獲取神器，能夠直接從 lsass.exe 進程中獲取Windows處於active狀態賬號的明文密碼）實現了憑證轉儲，且配合使用滲透工具Impacket實現了對處於同一網絡下的其他系統的入侵。

2019年9月19日，Unit 42團隊在另一箇中東國家政府機構的webshell中發現了相同版本的Mimikatz，但並沒有找到足夠的證據來將這起活動與Emissary Panda聯繫起來，因為攻擊者此次使用的webshell是AntSword，而不是Emissary Panda慣用的China Chopper。但有一點是可以肯定的，那就是攻擊者同樣使用了CVE-2019-0604漏洞作為發起入侵的突破口。

時間已過去數月，Unit 42團隊在2020年1月10日使用Shodan搜索了受CVE-2019-0604漏洞影響的SharePoint版本號。數據顯示，仍有至少28881臺SharePoint服務器沒有修復此漏洞。也就是說，潛在攻擊者可以隨時利用公開可用的漏洞利用腳本輕鬆攻破這些服務器。

為避免廣大SharePoint用戶遭受潛在攻擊，Unit 42團隊於近日公開發布了他們針對2019年9月攻擊活動的調查結果，包括漏洞利用過程以及C2流量。

CVE-2019-0604漏洞利用

根據Unit 42團隊的描述，他們是在2019年9月10日觀察到了如下URL的HTTP POST請求，並很快確認這是針對SharePoint服務器漏洞CVE-2019-0604的利用嘗試：

/_layouts/15/picker.aspx

很快，這一入站請求在SharePoint服務器上執行了如下命令：

C:\\Windows\\System32\\cmd.exe /c echo PCVAIFBhZ2UgTGFuZ3VhZ2U9IkMjIiBEZWJ1Zz0idHJ1ZSIgVHJhY2U9ImZhbHNlIiAlPg[..snip..] > c:\\programdata\\cmd.txt & certutil -decode c:\\programdata\\cmd.txt C:\\Program Files\\Common Files\\microsoft shared\\Web Server Extensions\\14\\TEMPLATE\\LAYOUTS\\c.aspx & certutil -decode c:\\programdata\\cmd.txt C:\\Program Files\\Common Files\\microsoft shared\\Web Server Extensions\\15\\TEMPLATE\\LAYOUTS\\c.aspx & certutil -decode c:\\programdata\\cmd.txt C:\\Program Files\\Common Files\\microsoft shared\\Web Server Extensions\\16\\TEMPLATE\\LAYOUTS\\c.aspx

Unit 42團隊表示，如上命令使用了echo命令來將大量的base64編碼數據寫入一個名為“cmd.txt”的文本文件。然後，該命令使用了certutil應用程序將cmd.txt文件中的base64編碼數據轉換為分別位於三個不同的SharePoint相關文件夾中的c.aspx。

整個命令的結果是將Awen asp.net webshell保存到SharePoint服務器，以便攻擊者能夠進一步與入侵服務器進行交互。

Awen webshell

在漏洞利用成功的40秒後，第一個HTTP GET請求被髮送到了Awen webshell。Awen webshell的功能很簡單，就是設置命令提示符應用程序的路徑和以及運行命令。

圖1.由攻擊者安裝的Awen webshell

根據Unit 42團隊的說法，Awen webshell會運行各種命令，以收集有關入侵服務器的各種信息，如用戶帳戶、文件和文件夾、遠程系統和網絡配置等。

隨後，一個名為“bitreeview.aspx”的webshell將被存到SharePoint服務器安裝路徑下的一個文件夾中。

分析表明，bitreeview.aspx是AntSword webshell的一個變種，它與China Chopper webshell具有一定的相似性。

AntSword webshell

AntSword是一個模塊化的webshell，可通過一個名為“AntSword Shell Manager”的客戶端應用程序進行控制。

攻擊者可以通過AntSword webshell在受感染服務器上運行各種命令，如下所示是此webshell的初始命令列表：

whoami
query user
nltest /domain_Trusts
ping -n 1 <redacted>
ipconfig /all
net group /do
net group Exchange Servers /do
ing -n 1 <redacted>

ping -n 1 <redacted>
query user

AntSword Shell Manager具有一個文件管理界面，該界面提供了類似於Windows資源管理器的導航功能，允許攻擊者向受感染服務器上載文件或從中下載文件。

圖2. AntSword Shell Manager的文件管理界面

AntSword和China Chopper的相似性

如上所述，AntSword和China Chopper具有一定的相似性。首先，它們都是模塊化的webshell，攻擊者可以使用客戶端應用程序而不是Web瀏覽器與它們進行交互。其次，它們都默認使用相同的編碼器。

Unit 42團隊表示，AntSword和China Chopper之間的主要區別涉及兩個客戶端應用程序發送到Webshell來運行命令和其他活動的代碼和參數。例如，China Chopper 在通過Web Shell運行命令時使用的是兩個分別名為“z1”和“z2”的參數，而AntSword在每次執行時使用的是四個隨機生成的名稱。