GhostRedirector攻击Windows服务器:后门与权限提升工具分析
ESET研究人员发现了一个名为GhostRedirector的新威胁组织,该组织已入侵至少65台主要位于巴西、泰国和越南的Windows服务器。GhostRedirector使用了两种先前未记录的定制工具:名为Rungan的被动C++后门和名为Gamshen的恶意Internet信息服务(IIS)模块。
攻击工具分析
Rungan:被动C++后门
Rungan能够在受感染服务器上执行命令,其主要功能是通过滥用HTTP Server API注册硬编码URL,等待匹配请求并执行接收到的命令。该后门支持以下关键功能:
- 创建新用户
- 执行系统命令
- 注册监听URL
- 目录列表
Gamshen:恶意IIS模块
Gamshen作为原生IIS模块实现,专门针对Googlebot搜索爬虫请求,通过修改服务器响应来操纵搜索引擎结果。该模块仅当检测到来自Google爬虫的请求时才激活,对普通网站访问者无影响。
权限提升技术
GhostRedirector使用公开的EfsPotato和BadPotato漏洞进行本地权限提升,创建具有管理员权限的用户账户。攻击者还使用.NET Reactor对工具进行多层混淆,部分样本使用了由中国公司深圳市迪元素科技有限公司颁发的代码签名证书。
攻击链概述
- 初始访问:通过SQL注入漏洞获得初始访问权限
- 工具下载:使用PowerShell从 staging服务器868id[.]com下载恶意工具
- 权限提升:利用Potato系列漏洞创建管理员用户
- 持久化:部署后门和IIS模块维持访问权限
受害者分布
攻击主要影响南美和东南亚地区,受害者涉及多个行业:
- 保险业
- 医疗保健
- 零售业
- 交通运输
- 技术行业
- 教育机构
归因分析
基于以下证据,研究人员以中等置信度认为GhostRedirector是中国背景的威胁组织:
- 多个样本包含硬编码的中文字符串
- 使用了中国公司颁发的代码签名证书
- 创建的用户密码包含中文"黄"字拼音
防御建议
组织应加强Windows服务器安全防护,定期更新补丁,监控异常PowerShell执行和网络活动,并对IIS模块进行安全审计。