使用趋势科技Managed XDR调查Web Shell入侵事件

本文详细分析了攻击者如何利用IIS worker进程上传Web Shell,通过PowerShell建立反向TCP连接进行数据窃取,并探讨了趋势科技Managed XDR的检测与响应机制,包括技术细节和防护建议。

使用趋势科技Managed XDR调查Web Shell入侵事件

摘要

本分析基于趋势科技™ Managed XDR对客户事件的调查和响应;我们的终端传感器检测到Internet Information Services(IIS)worker进程(w3wp.exe)执行可疑活动,触发了团队的行动。

攻击者能够将Web Shell上传到IIS worker,该进程在攻击时未受限制。此面向公众的服务器的影响是,攻击者创建了新账户以维持持久性,并修改了一个现有用户的密码。

攻击者利用编码的PowerShell命令创建反向TCP shell,连接到IP地址进行命令和控制。

趋势科技™ Managed XDR的事件响应由Trend Vision One™触发,因为我们的终端传感器检测到IIS Worker进程(w3wp.exe)执行可疑二进制文件。此行为表明可能利用了Web服务器,涉及未经授权的活动或环境被入侵。我们的调查发现,攻击者使用反向TCP shell建立命令和控制,这是通过IIS Worker Process Spawning Suspicious PowerShell Command模型触发的进一步过滤器发现的。在遏制威胁后,Managed XDR进行调查,发现了在目录C:\Users\Public中下载的多个有效载荷,我们将在本博客中讨论这些内容。

初始访问

从我们对本案例的调查中,攻击者能够将Web Shell上传到Internet Information Services IIS worker(w3wp.exe)。相同的Web Shell较早前在另一个位置创建;然而,攻击者未继续与之交互。我们通过分析Web服务器接收的请求确定了初始访问,其中我们识别了与Web Shell交互的源主机。

在创建两个Web Shell之前,我们观察到POST请求:

  • POST //batchupload.aspx - 443 - 86.48.10[.]109 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/131.0.0.0+Safari/537.36 https:////batchupload.aspx 200 0 0 111
  • POST //email_settings.aspx - 443 - 86.48.10[.]109 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/131.0.0.0+Safari/537.36 https:////email_settings.aspx 200 0 0 93

发现

攻击者向以下Web Shell发出POST请求:E:\azure\azureapps\test.****\ebiller\Email_templates\cmd.aspx,导致IIS worker进程(w3wp.exe)生成cmd.exe和powershell.exe,如图2所示。

我们还观察到攻击者使用以下内置系统工具执行发现命令(系统所有者、系统信息、进程、文件/目录和账户发现):

  • whoami
  • tasklist
  • systeminfo
  • type

除了Web Shell,攻击者还能够创建新账户以维持持久性,并修改了一个现有用户的密码。

为了逃避检测,攻击者将Web Shell重命名为伪装成合法文件: “cmd.exe” /c E: && cd\azure\azureapps<domain>\ebiller\Email_templates\ && rename cmd.aspx a****.aspx

命令和控制

攻击者利用编码的PowerShell命令创建反向TCP shell,连接到IP地址进行C&C,使他们能够执行命令以下载其他工具:

  • http://54.255.198[.]171/0x02.exe → 0x02.exe → C:\Users\Public\0x02.exe
  • http://54.255.198[.]171/rev.bat → rev.bat → C:\Users\Public\rev.bat
  • http://54.255.198[.]171/AnyDesk.exe → AnyDesk.exe → C:\Users\Public\AnyDesk.exe
  • http://54.255.198[.]171/ngrok.exe → n.exe → C:\Users\Public\n.exe

攻击者还能够安装AnyDesk远程桌面应用程序,并使用以下命令配置其在Windows启动时自动启动: “C:\users\public\AnyDesk.exe” –install –start-with-win

数据收集和窃取

Web服务器工作目录的内容通过7zip应用程序进行归档,使用以下命令: Command: “cmd.exe” /c E: && cd\azure\azureapps\test.**** && “C:\Program Files\7-zip\7z.exe” a -r _x89z7a.zip “.*”

归档文件然后通过主机自己的IIS服务器功能通过GET请求从主机窃取: GET /_x89z7a.zip - 443 - 86.48.10[.]109 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/131.0.0.0+Safari/537.36 – 200

攻击者然后删除zip文件_x89z7a.zip以掩盖踪迹: “cmd.exe” /c E: && cd\azure\azureapps\test.****\ && del /f _x89z7a.zip

还有其他文件通过C&C发出的GET请求被窃取,包括zip文件和其他与支付和交易相关的文件。

收集文件的技术分析

我们对收集的文件进行了进一步分析,以更好地理解包含的威胁。以下部分包含我们在分析受害者主机中上传的不同Web Shell时发现的内容。

  • cmd.aspx, cmd2.aspx, default.aspx:允许基于客户端表单"Request.Form[“command”]“的输入执行任意命令shell代码,并将命令输出暴露给客户端。
  • 0514_Bills_Payment_Intraday_01102019_114424.aspx:类似于cmd.aspx,但使用powershell.exe进行任意代码执行,而不是cmd.exe。
  • 514_Bills_Payment_Intraday_01012019_054034.aspx:可能允许任意文件管理或操作,允许导航、创建、编辑和删除目录和文件,还具有上传功能以潜在添加其他组件。
  • cmd.asp:当使用url “?cmd=“访问时,允许任意cmdline执行,并将结果发送回发送者。可能的使用格式:“www.example.com/cmd.asp?cmd="。
  • hello.aspx:仅包含字符串"hello”。
  • up.aspx, up.html:可能允许任意文件上传,可能是服务器中发现的其他恶意脚本的来源。FileUploadControl.SaveAs()方法直接将上传的文件保存到服务器,而不清理其内容或彻底验证其类型。FileUploadControl.FileName直接使用而不清理,这可能允许目录遍历或覆盖重要服务器文件。
  • 0x02.exe:解压后的样本在运行时调试日志中观察到使用菲律宾语和英语混合(注意:运行时调试字符串的本地语言可能表明攻击者使用该语言或试图进行虚假标志归因)。用于通过RPC和命名管道进行任意远程代码执行。需要前面提到的VC运行时DLL和参数才能正常运行:
    • -c - 将包含通过NamedPipes和RPC执行的命令行
    • -d - 会话ID
    • -i - 继承特权选项
    • -h – 帮助选项 用于通过各种方法(如模拟和安全描述操作)进行权限提升。创建或连接到命名管道以及RPC函数。基于从管道响应提供的命令参数创建进程。

解决和建议

Web Shell仍然是Web服务器所有者面临的常见威胁,突出了需要警惕监控和确保服务器遵守安全管理和服务配置的最佳实践。以下列举了Managed XDR团队如何响应本博客中讨论的事件:

遏制和根除威胁的响应行动

在发现威胁的额外有效载荷后,我们迅速隔离了终端以遏制威胁,防止其进一步影响其他主机。这些额外有效载荷由团队收集,并进行调查,并转交给分析团队进行适当检测。远程收集了额外的服务器日志以调查与Web Shell相关的活动。

基于事件的定制行动项和建议

从调查结果和与客户的沟通中,Web Shell上传的来源似乎源于服务器中未受限制的上传文件。我们建议禁用这些页面,直到设置适当的文件验证、限制文件上传以及为上传功能设置适当的授权。

在调查期间,我们还观察到主机缺乏适当的安全代理(Endpoint Protection Platform)安装;安装适当的安全代理可以预防和减轻影响,因为它们会在Web Shell到达时检测到它们。

与客户的通话和事件报告共享

为了更好地理解事件、威胁的影响以及需要优先处理哪些行动项,与客户进行了事件通话。还创建并共享了包含事件分析结果和建议的事件报告,作为文档参考。

为了保护免受类似威胁,我们建议以下安全措施,以帮助组织和企业有效防御Web Shell攻击:

  • 验证和清理输入。确保Web页面上的所有输入都经过验证和清理,以防止注入攻击。
  • 实施身份验证过程并限制访问。为任何敏感端点实施强身份验证方法,并仅限制授权用户访问。
  • 修补系统和应用程序。审查服务器和Web应用程序的任何已知漏洞。确保应用最新的安全补丁,特别是Web框架或服务器软件如IIS。
  • 确保安全产品根据最佳实践配置。确保所有安全工具(如端点检测、防火墙和监控系统)根据供应商最佳实践正确配置和更新,以保持对威胁的强大防御。

Trend Vision One威胁情报

为了领先于不断演变的威胁,趋势科技客户可以在Trend Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先,并更好地准备应对新兴威胁。它提供关于威胁行为者、其恶意活动以及他们使用的技术的全面信息。通过利用此情报,客户可以采取主动步骤保护其环境、减轻风险并有效响应威胁。

狩猎查询

Trend Vision One客户可以使用Search App匹配或狩猎本博客中提到的恶意指标与环境中的数据。

潜在Web Shell命令执行: ((processFilePath:w3wp.exe AND objectFilePath:(cmd.exe OR powershell.exe)) OR parentFilePath:w3wp.exe AND processFilePath:(cmd.exe OR powershell.exe)) AND eventSubId: 2 AND NOT objectFilePath:(conhost.exe)

更多狩猎查询可供具有威胁洞察权限的Vision One客户使用。

妥协指标

妥协指标(IoCs)可在此链接中找到。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次