PrayingMantis(螳螂)很可能是一個(gè)使用自定義惡意軟件并擅長躲避檢測的民族國家黑客組織。
近日研究人員發(fā)現(xiàn),在過去一年間,一個(gè)復(fù)雜的且極可能由國家民族支持的威脅行為者一直在利用面向公眾的ASP.NET應(yīng)用程序中的反序列漏洞來部署無文件惡意軟件,從而危害一些主要的公共和私營組織。
事件響應(yīng)公司Sygnia的研究人員將該組織命名為“Praying Mantis”(TG1021)。據(jù)悉,該黑客組織通過使用專為Internet信息服務(wù) (IIS) Web服務(wù)器構(gòu)建的自定義惡意軟件工具集來執(zhí)行憑據(jù)收集、偵察和橫向移動(dòng)任務(wù)。除此之外,該組織還在規(guī)避惡意軟件檢測方面做了很大的努力。
Sygnia研究人員在一份詳細(xì)報(bào)告中稱:
“活動(dòng)的性質(zhì)及其作案手法表明TG1021是一位經(jīng)驗(yàn)豐富的威脅組織,并且高度了解 OPSEC(操作安全)。TG1021使用的惡意軟件通過主動(dòng)干擾日志記錄機(jī)制、成功規(guī)避商業(yè)EDR以及靜默等待傳入連接,而不是連接回C2通道并持續(xù)生成流量,顯示了其在避免檢測方面做出的重大努力。此外,攻擊者在使用后主動(dòng)刪除了所有磁盤駐留工具,有效地放棄了持久性以換取隱匿性。”
新舊反序列化漏洞利用
在編程中,序列化是將數(shù)據(jù)轉(zhuǎn)換為字節(jié)流的過程,通常通過網(wǎng)絡(luò)傳輸。反序列化即該過程的逆向,就像軟件中的大多數(shù)數(shù)據(jù)解析操作一樣,如果用戶控制輸入,它可能成為漏洞的來源。不安全的反序列化漏洞多年來一直困擾著Java應(yīng)用程序,但Java并不是唯一一種反序列化常用的編程語言。
Praying Mantis利用的漏洞就是針對(duì)ASP.NET中的反序列化實(shí)現(xiàn),ASP.NET是一種用于開發(fā)托管在Windows IIS Web服務(wù)器上的Web應(yīng)用程序的開源框架。ASP.NET有一種稱為“VIEWSTATE”的機(jī)制,框架使用它來存儲(chǔ)在POST請求期間發(fā)送到客戶端時(shí)網(wǎng)頁的狀態(tài)和控件。它被存儲(chǔ)成名為“ _VIEWSTATE”的隱藏輸入字段。當(dāng)客戶端執(zhí)行POST操作并將頁面發(fā)送回服務(wù)器時(shí),VIEWSTATE被反序列化和驗(yàn)證。ASP.NET提供了一些安全性和完整性檢查機(jī)制來確保序列化數(shù)據(jù)有效,但它們的正確使用需要?dú)w結(jié)于開發(fā)人員的實(shí)現(xiàn)。
研究人員發(fā)現(xiàn),Praying Mantis利用了一個(gè)Checkbox Survey遠(yuǎn)程代碼執(zhí)行(RCE)漏洞(CVE-2021-27852),Checkbox應(yīng)用程序允許網(wǎng)站所有者實(shí)施用戶調(diào)查。據(jù)悉,在該組織發(fā)起攻擊時(shí),該RCE漏洞還處于0-day狀態(tài),并且影響了Checkbox V6及更早版本。盡管 Checkbox V7 自2019 年開始可用且不受影響,但對(duì)Checkbox V6 的官方支持直到7月1日才結(jié)束。
CERT/CC的分析師在 5 月份的一份咨詢中表示:
“在7.0 版本之前,Checkbox Survey 通過接受一個(gè)_VSTATE 參數(shù)來實(shí)現(xiàn)它自己的VIEWSTATE 功能,然后使用LosFormatter反序列化。由于該數(shù)據(jù)由Checkbox Survey代碼手動(dòng)處理,因此服務(wù)器上的 ASP.NET VIEWSTATE 消息身份驗(yàn)證代碼(MAC)設(shè)置就被忽略了。沒有MAC,攻擊者可以創(chuàng)建將被反序列化的任意數(shù)據(jù),從而導(dǎo)致任意代碼執(zhí)行。”
Praying Mantis組織似乎對(duì)反序列漏洞有著非常深刻地認(rèn)識(shí),他們在攻擊活動(dòng)中以多種方式利用該機(jī)制進(jìn)行橫向移動(dòng)和持久化。例如,即使新版本的ASP.NET支持 VIEWSTATE 完整性檢查和加密,但如果加密和驗(yàn)證密鑰被盜或泄露,它們也可被用于重新感染服務(wù)器或感染同一集群中托管同一應(yīng)用程序的其他服務(wù)器,因?yàn)槊荑€是共享的。
研究人員表示,“在Sygnia的一項(xiàng)調(diào)查中,TG1021利用被盜的解密和驗(yàn)證密鑰來利用IIS Web 服務(wù)器。VIEWSTATE反序列化漏洞利用的流程幾乎與上面解釋的VSTATE漏洞相同,只是調(diào)整了對(duì)VIEWSTATE數(shù)據(jù)進(jìn)行加密和簽名,而不是對(duì)其進(jìn)行壓縮。”
該小組還利用了依賴于序列化的會(huì)話存儲(chǔ)機(jī)制。ASP.NET允許應(yīng)用程序?qū)⒂脩魰?huì)話作為序列化對(duì)象存儲(chǔ)在MSSQL數(shù)據(jù)庫中,然后為它們分配唯一的cookie。當(dāng)用戶的瀏覽器再次訪問應(yīng)用程序并保存了其中一些cookie時(shí),應(yīng)用程序?qū)臄?shù)據(jù)庫中加載相應(yīng)的會(huì)話對(duì)象并將其反序列化。
攻擊者利用此功能進(jìn)行橫向移動(dòng),方法是使用對(duì)IIS Web服務(wù)器(受到上述漏洞影響而受損)的訪問權(quán)限,以生成惡意會(huì)話對(duì)象和關(guān)聯(lián)的cookie,并將其存儲(chǔ)在Microsoft SQL 數(shù)據(jù)庫中。然后,他們將請求發(fā)送到屬于同一基礎(chǔ)結(jié)構(gòu)并使用同一數(shù)據(jù)庫的其他IIS服務(wù)器,并在請求中包含惡意cookie。這迫使運(yùn)行在這些服務(wù)器上的應(yīng)用程序?qū)嵗龔臄?shù)據(jù)庫加載惡意制作的會(huì)話對(duì)象并將其反序列化,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)。
研究人員還觀察到Praying Mantis利用其他應(yīng)用程序中的反序列化漏洞,例如 CVE-2019-18935,這也是一個(gè) RCE 漏洞,源于JSON解析中的不安全反序列化,并影響名為 Telerik UI for ASP.NET AJAX 的產(chǎn)品。Telerik是一套廣泛用于Web應(yīng)用程序的用戶界面組件。此外,該組織還使用了另外一個(gè)影響Telerik的較舊的任意文件上傳漏洞(CVE-2017-11317)。
為IIS量身定制的惡意軟件框架
黑客利用這些RCE漏洞反射性地將惡意DLL加載到易受攻擊的Web服務(wù)器的內(nèi)存中。然后,這個(gè)DLL又反射性地加載了一個(gè)惡意軟件組件。反射加載是一種將惡意DLL注入現(xiàn)有進(jìn)程并Hook其功能的技術(shù)。這種技術(shù)的好處是某些Windows機(jī)制(例如在運(yùn)行時(shí)將DLL注冊為模塊)被繞過,并且文件實(shí)際上并未寫入磁盤;缺點(diǎn)是感染缺乏持久性,由于流氓DLL僅存在于RAM中,因此如果重新啟動(dòng)其父進(jìn)程(parent process),它將消失。由于這種網(wǎng)絡(luò)服務(wù)器的正常運(yùn)行時(shí)間很長,因此用持久性換取隱匿性是一種有效的手段。
除了反射DLL加載器,Praying Mantis有時(shí)還使用web shell來加載 NodeIISWeb。當(dāng)該組織利用CVE-2017-11317等文件上傳漏洞而非基于反序列化的遠(yuǎn)程代碼執(zhí)行漏洞時(shí),這種情況更為常見,因?yàn)閣eb shell本質(zhì)上是上傳到服務(wù)器文件系統(tǒng)的惡意web 腳本/應(yīng)用程序,可通過HTTP遠(yuǎn)程訪問。Praying Mantis的web shell通常是短暫存在的,在部署NodeIISWeb后,該組織會(huì)立即刪除它們。
NodeIISWeb惡意軟件與IIS 輸入驗(yàn)證功能掛鉤,可以讀取所有傳入服務(wù)器的HTTP流量,這為攻擊者提供了一種控制惡意軟件的方法。由于攻擊者可以通過這種HTTP機(jī)制發(fā)送指令,因此NodeIISWeb不會(huì)生成傳往可能被流量監(jiān)控解決方案檢測到的命令和控制服務(wù)器的傳出連接。
也就是說,惡意軟件程序?yàn)門CP、HTTP 和SQL實(shí)現(xiàn)了多種流量轉(zhuǎn)發(fā)方法,允許其作為代理或命令和控制通道本身,用于運(yùn)行在同一網(wǎng)絡(luò)內(nèi)受感染服務(wù)器上的其他惡意軟件實(shí)例,而這些實(shí)例可能不是直接暴露在互聯(lián)網(wǎng)上。它還可以執(zhí)行JScript負(fù)載并加載擴(kuò)展其功能的其他DLL模塊。
NodeIISWeb通常用于部署另一個(gè)名為“ExtDLL.dll”的自定義Windows 后門,該后門可用于操作文件和目錄、收集系統(tǒng)信息、加載和執(zhí)行DLL并實(shí)施各種攻擊技術(shù),例如代碼注入和令牌操作。該組件還hook并操縱系統(tǒng)上存在的各種安全功能以隱藏其活動(dòng),包括防病毒掃描功能、事件日志報(bào)告功能、。NET代碼信任檢查和PowerShell相關(guān)的注冊表項(xiàng)。
NodeIISWeb和ExtDLL.dll加載的附加DLL模塊之一稱為“PSRunner.dll”,它允許在主機(jī)上運(yùn)行PowerShell腳本,而無需生成PowerShell進(jìn)程。另一個(gè)稱為“Forward.dll”,可以實(shí)現(xiàn)HTTP流量轉(zhuǎn)發(fā)功能。“PotatoEx.dll”是權(quán)限提升工具和Active Directory映射工具,而“E.dll”是生成自定義HTTP響應(yīng)的組件,允許攻擊者驗(yàn)證漏洞是否已在目標(biāo)IIS服務(wù)器上成功執(zhí)行。
Praying Mantis利用其對(duì)受感染IIS服務(wù)器的訪問權(quán)限,來修改現(xiàn)有應(yīng)用程序的登錄頁面,以捕獲用戶憑據(jù),并將其保存在單獨(dú)的文件中,還部署了公開可用的攻擊性安全工具,包括直接加載到內(nèi)存中而不留痕跡的SharpHound和PowerSploit。該組織還被發(fā)現(xiàn)使用泄露的域憑據(jù)通過SMB訪問內(nèi)部服務(wù)器上的共享文件夾。
Praying Mantis檢測和預(yù)防
由于其內(nèi)存駐留惡意軟件的易失性,以及該組織對(duì)操作安全的深刻認(rèn)識(shí),想要檢測Praying Mantis的活動(dòng)并不容易。Sygnia 研究人員建議修補(bǔ)。NET反序列化漏洞,搜索報(bào)告中發(fā)布的危害指標(biāo),使用旨在檢測該組織工具的YARA規(guī)則掃描面向Internet的IIS服務(wù)器,并積極尋找IIS環(huán)境中的可疑活動(dòng)。
驗(yàn)證ASP.NET VIEWSTATE的使用或相同機(jī)制的自定義實(shí)現(xiàn)(如 Checkbox Survey中的壓縮 VSTATE)對(duì)于保護(hù)ASP.NET應(yīng)用程序免受VIEWSTATE反序列化漏洞影響至關(guān)重要。IIS配置中的enableViewStateMac變量應(yīng)設(shè)置為“True”,而aspnet:AllowInsecureDeserialization變量應(yīng)設(shè)置為“False”。注冊表項(xiàng)AspNetEnforceViewStateMac應(yīng)設(shè)置為“1”,并應(yīng)小心處理加密和驗(yàn)證鍵。服務(wù)器應(yīng)使用自動(dòng)生成的密鑰或者IIS服務(wù)器上的機(jī)器密鑰應(yīng)定期更換,以減少因密鑰被盜或泄露而被濫用的可能性。
研究人員表示
“如果您的 Web 應(yīng)用程序使用ASP.NET會(huì)話狀態(tài),請確保只能從合法的網(wǎng)絡(luò)位置訪問數(shù)據(jù)庫。盡可能在不同的IIS服務(wù)器/Web應(yīng)用程序之間分離會(huì)話狀態(tài)MSSQL數(shù)據(jù)庫,或者使用適當(dāng)?shù)淖钚RUD權(quán)限創(chuàng)建不同的SQL用戶。確保您的。NET Web應(yīng)用程序使用指定的應(yīng)用程序池標(biāo)識(shí)以盡可能低的權(quán)限運(yùn)行。這可以增加TG1021組織的攻擊難度。”
除了Sygnia發(fā)布的報(bào)告外,2020年6月,ACSC也發(fā)布了一份報(bào)告,詳細(xì)介紹了以澳大利亞公共和私營部門組織為目標(biāo)的國家支持的威脅組織“Copy-Paste”的策略、技術(shù)和程序。報(bào)告中稱Copy-Paste使用了各種反序列化的利用,特別是Microsoft IIS服務(wù)器中的Telerik UI漏洞和VIEWSTATE處理。這與Sygnia觀察到的Praying Mantis活動(dòng)存在部分重疊的妥協(xié)和攻擊技術(shù)指標(biāo)。兩者是否存在聯(lián)系,暫未可知。
