卡巴斯基安全研究员 Mert Degirmenci 最新发布的分析表明,Web Shell 是一个名为 “hrserv.dll” 的动态链接库 (DLL),具备复杂的功能,例如自定义编码方法用于客户端通信和内存执行。
根据卡巴斯基这家俄罗斯网络安全公司的调查,根据这些工件的编译时间戳,发现了可以追溯到 2021 年初的恶意软件变种。
Web Shell 通常是一种恶意工具,用于远程控制受感染的服务器。一旦上传成功,攻击者就可以执行一系列利用后活动,包括数据盗取、服务器监控和内网横向推进。
攻击链涉及到 PAExec 远程管理工具,它是 PsExec 的替代品,用于创建一个伪装成 Microsoft 更新(”MicrosoftsUpdate”)的计划任务,然后配置执行一个名为 “JKNLA.bat” 的 Windows 批处理脚本。
该批处理脚本接受 DLL 文件(”hrserv.dll”)的绝对路径作为参数,然后将其作为服务执行,启动一个能够解析传入的 HTTP 请求以进行后续操作的 HTTP 服务器。
Degirmenci 表示,根据 HTTP 请求的类型和信息,特定功能将被激活。他补充说,”hrserv.dll” 文件中使用的 GET 参数用于模仿 Google 服务,其中包括 ‘hl’。
这很可能是攻击者试图将这些恶意请求与正常的网络流量混合,使恶意活动与正常事件之间更难以区分。
这些 HTTP 的 GET 和 POST 请求中嵌入了一个名为 “cp” 的参数,其值的范围从 0 到 7,决定了下一步的操作。其中包括创建新线程、创建带有任意数据的文件、读取文件以及访问 Outlook Web App 的 HTML 数据。
如果 POST 请求中 “cp” 的值等于 “6”,则会触发代码执行,解析编码数据并将其复制到内存中,然后创建一个新线程,进入休眠状态。
此外,该 Web Shell 还能够在内存中激活一个隐秘的 “多功能植入物”,负责通过删除 “MicrosoftsUpdate” 任务以及最初的 DLL 和批处理文件来抹除取证痕迹。
目前尚不清楚背后的威胁行为者是谁,但源代码中存在多个拼写错误,表明恶意软件的作者的母语不是英语。
Degirmenci 总结道,”值得注意的是,Web Shell 和内存植入物在特定条件下使用不同的字符串。此外,内存植入物还具有精心制作的帮助信息。”
“综合考虑这些因素,该恶意软件的特征更符合出于经济动机的恶意活动。然而,其操作方法与 APT 行为有相似之处。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/ew-hrservdll-web-shell-detected-in-apt.html
