解析攻击Exchange服务器的幕后组织
发布时间:2022-01-05 10:43:10 所属栏目:安全 来源:互联网
导读:大多数GhostEmperor(研究人员暂定的名称)感染是部署在面向公共的服务器上,因为许多恶意工件是由Apache服务器进程httpd.exe、IIS Windows服务器进程w3wp.exe或Oracle服务器进程oc4j.jar安装的。这意味着攻击者可能会滥用在这些系统上运行的web应用程序中的
|
大多数GhostEmperor(研究人员暂定的名称)感染是部署在面向公共的服务器上,因为许多恶意工件是由Apache服务器进程“httpd.exe”、IIS Windows服务器进程“w3wp.exe”或Oracle服务器进程“oc4j.jar”安装的。这意味着攻击者可能会滥用在这些系统上运行的web应用程序中的漏洞,允许他们删除和执行他们的文件。 值得一提的是,其中一次 GhostEmperor 感染影响了 Exchange 服务器,发生在 2021 年 3 月 4 日。这距离微软发布 ProxyLogon 漏洞补丁仅两天,攻击者可能利用了这一点漏洞,以允许他们在易受攻击的 Exchange 服务器上实现远程代码执行。 虽然GhostEmperor的感染通常始于一个BAT文件,但在某些情况下,已知的感染链之前还会有一个阶段,一个由wdichost.exe加载的恶意DLL, wdichost.exe是微软最初称为mpcmrun .exe的合法命令行实用程序。然后,侧加载DLL解码并加载一个名为license.rtf的附加可执行文件。不幸的是,我们无法检索这个可执行文件,但是我们看到加载它的连续操作包括通过wdichost.exe创建和执行GhostEmperor脚本。 攻击从PowerShell滴管开始发起,它会创建几个注册表项,并将加密数据分配给它们。脚本本身是以打包形式传播的,因此它的完整执行依赖于一个命令行参数,该参数被用作解密其大量逻辑和数据的密钥。没有这个密钥,这个阶段之后的流量是不可能恢复的。 下一阶段由前者作为服务执行,目的是作为下一阶段的先前阶段。它用于从先前写入的注册表项中读取加密的数据,并对其进行解密,以启动内存植入的执行。我们确定了该组件的两种变体,一种是用 C++ 开发的,另一种是用 .NET 开发的。后者最早在2021年3月就出现了,它使用受感染计算机的GUID来获得解密密钥,可以在特定的系统上执行。另一方面,c++变体依赖硬编码的AES 256加密密钥。三个阶段是核心植入,它被上述加载程序部署后在内存中运行,并被注入到新创建的svchost.exe进程的地址空间中。它的主要目标是为与C2服务器的流量通道提供便利,在此基础上,基于嵌入在其配置中的可扩展C2配置文件,恶意流量将被伪装成与良性服务的流量。需要注意的是,最初在 Cobalt Strike 框架中提供的 Malleable C2 功能的实现是根据 Cobalt Strike 代码的逆向工程进行自定义和重写的。 最后一个阶段是由上述植入程序注入 winlogon.exe 进程的有效载荷,用于向攻击者提供远程控制功能。此类功能包括启动远程控制台或桌面会话,后者支持在目标计算机上执行发送的鼠标点击和击键,以及检索反映这些操作输出的定期屏幕截图。此阶段还允许攻击者加载任意 .NET 程序集或执行 PowerShell 命令,以及完全控制受害者的文件系统以搜索、检索或推送文件。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐