卡巴斯基安全研究員Mert Degirmenci 最新發布的分析表明,Web Shell 是一個名為「hrserv.dll」 的動態連結庫(DLL),具備複雜的功能,例如自訂編碼方法用於客戶端通訊和記憶體執行。
根據卡巴斯基這家俄羅斯網路安全公司的調查,根據這些工件的編譯時間戳,發現了可以追溯到2021 年初的惡意軟體變種。
Web Shell 通常是一種惡意工具,用於遠端控制受感染的伺服器。一旦上傳成功,攻擊者就可以執行一系列利用後活動,包括資料竊取、伺服器監控和內部網路橫向推進。
攻擊鏈涉及PAExec 遠端管理工具,它是PsExec 的替代品,用於建立一個偽裝成Microsoft 更新(”MicrosoftsUpdate」)的排程任務,然後配置執行一個名為「JKNLA.bat」 的Windows 批次腳本。
此批次腳本接受DLL 檔案(”hrserv.dll」)的絕對路徑作為參數,然後將其作為服務執行,啟動一個能夠解析傳入的HTTP 請求以進行後續操作的HTTP 伺服器。
Degirmenci 表示,根據HTTP 請求的類型和訊息,特定功能將被啟動。他補充說,”hrserv.dll” 文件中使用的GET 參數用於模仿Google 服務,其中包括'hl'。
這很可能是攻擊者試圖將這些惡意請求與正常的網路流量混合,使惡意活動與正常事件之間更難以區分。
這些HTTP 的GET 和POST 請求中嵌入了一個名為「cp」 的參數,其值的範圍從0 到7,決定了下一步的操作。其中包括建立新執行緒、建立帶有任意資料的檔案、讀取檔案以及存取Outlook Web App 的HTML 資料。
如果POST 請求中“cp” 的值等於“6”,則會觸發程式碼執行,解析編碼資料並將其複製到記憶體中,然後建立一個新線程,進入休眠狀態。
此外,該Web Shell 還能夠在記憶體中啟動一個隱密的“多功能植入物”,負責透過刪除“MicrosoftsUpdate” 任務以及最初的DLL 和批次檔來擦除取證痕跡。
目前尚不清楚背後的威脅行為者是誰,但原始程式碼中存在多個拼字錯誤,表明惡意軟體的作者的母語不是英語。
Degirmenci 總結道,”值得注意的是,Web Shell 和內存植入物在特定條件下使用不同的字符串。此外,內存植入物還具有精心製作的幫助信息。”
「綜合考慮這些因素,該惡意軟體的特徵更符合出於經濟動機的惡意活動。然而,其操作方法與 APT 行為有相似之處。 」
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/tw/ew-hrservdll-web-shell-detected-in-apt.html
