神秘APT組織鎖定(IIS)Web服務(wù)器，擅長(cháng)規避惡意軟件

PrayingMantis(螳螂)組織很可能是一個(gè)使用自定義惡意軟件并擅長(cháng)躲避檢測的民族國家惡意行為者。Praying Mantis利用的漏洞就是針對ASP.NET中的反序列化實(shí)現，ASP.NET是一種用于開(kāi)發(fā)托管在Windows IIS Web服務(wù)器上的Web應用程序的開(kāi)源框架。

PrayingMantis(螳螂)組織很可能是一個(gè)使用自定義并擅長(cháng)躲避檢測的民族國家惡意行為者。

近日研究人員發(fā)現，在過(guò)去一年間，一個(gè)復雜的且極可能由國家民族支持的威脅行為者一直在利用面向公眾的ASP.NET應用程序中的反序列漏洞來(lái)部署無(wú)文件惡意軟件，從而危害一些主要的公共和私營(yíng)組織。

事件響應公司Sygnia的研究人員將該組織命名為“Praying Mantis”或 TG1021。據悉，該黑客組織通過(guò)使用專(zhuān)為Internet信息服務(wù) () 構建的自定義惡意軟件工具集來(lái)執行憑據收集、偵察和橫向移動(dòng)任務(wù)。除此之外，該組織還在規避惡意軟件檢測方面做了很大的努力。

Sygnia研究人員在一份詳細報告中稱(chēng)：

“活動(dòng)的性質(zhì)及其作案手法表明TG1021是一位經(jīng)驗豐富的威脅組織，并且高度了解 OPSEC(操作安全)。TG1021使用的惡意軟件通過(guò)主動(dòng)干擾日志記錄機制、成功規避商業(yè)EDR以及靜默等待傳入連接，而不是連接回C2通道并持續生成流量，顯示了其在避免檢測方面做出的重大努力。此外，攻擊者在使用后主動(dòng)刪除了所有磁盤(pán)駐留工具，有效地放棄了持久性以換取隱匿性。”

新舊反序列化漏洞利用

在編程中，序列化是將數據轉換為字節流的過(guò)程，通常通過(guò)網(wǎng)絡(luò )傳輸。反序列化即該過(guò)程的逆向，就像軟件中的大多數數據解析操作一樣，如果用戶(hù)控制輸入，它可能成為漏洞的來(lái)源。不安全的反序列化漏洞多年來(lái)一直困擾著(zhù)Java應用程序，但Java并不是唯一一種反序列化常用的編程語(yǔ)言。

Praying Mantis利用的漏洞就是針對ASP.NET中的反序列化實(shí)現，ASP.NET是一種用于開(kāi)發(fā)托管在Windows IIS Web服務(wù)器上的Web應用程序的開(kāi)源框架。ASP.NET有一種稱(chēng)為“VIEWSTATE”的機制，框架使用它來(lái)存儲在POST請求期間發(fā)送到客戶(hù)端時(shí)網(wǎng)頁(yè)的狀態(tài)和控件。它被存儲成名為“ _VIEWSTATE”的隱藏輸入字段。當客戶(hù)端執行POST操作并將頁(yè)面發(fā)送回服務(wù)器時(shí)，VIEWSTATE被反序列化和驗證。ASP.NET提供了一些安全性和完整性檢查機制來(lái)確保序列化數據有效，但它們的正確使用需要歸結于開(kāi)發(fā)人員的實(shí)現。

研究人員發(fā)現，Praying Mantis利用了一個(gè)Checkbox Survey遠程代碼執行(RCE)漏洞(CVE-2021-27852)，Checkbox應用程序允許網(wǎng)站所有者實(shí)施用戶(hù)調查。據悉，在該組織發(fā)起攻擊時(shí)，該RCE漏洞還處于0-day狀態(tài)，并且影響了Checkbox V6及更早版本。盡管 Checkbox V7 自2019 年開(kāi)始可用且不受影響，但對Checkbox V6 的官方支持直到7月1日才結束。

CERT/CC的分析師在 5 月份的一份咨詢(xún)中表示：

Praying Mantis組織似乎對反序列漏洞有著(zhù)非常深刻地認識，他們在攻擊活動(dòng)中以多種方式利用該機制進(jìn)行橫向移動(dòng)和持久化。例如，即使新版本的ASP.NET支持 VIEWSTATE 完整性檢查和加密，但如果加密和驗證密鑰被盜或泄露，它們也可被用于重新感染服務(wù)器或感染同一集群中托管同一應用程序的其他服務(wù)器，因為密鑰是共享的。

研究人員表示，“在Sygnia的一項調查中，TG1021利用被盜的解密和驗證密鑰來(lái)利用IIS Web 服務(wù)器。VIEWSTATE反序列化漏洞利用的流程幾乎與上面解釋的VSTATE漏洞相同，只是調整了對VIEWSTATE數據進(jìn)行加密和簽名，而不是對其進(jìn)行壓縮。”

該小組還利用了依賴(lài)于序列化的會(huì )話(huà)存儲機制。ASP.NET允許應用程序將用戶(hù)會(huì )話(huà)作為序列化對象存儲在MSSQL數據庫中，然后為它們分配唯一的cookie。當用戶(hù)的瀏覽器再次訪(fǎng)問(wèn)應用程序并保存了其中一些cookie時(shí)，應用程序將從數據庫中加載相應的會(huì )話(huà)對象并將其反序列化。

攻擊者利用此功能進(jìn)行橫向移動(dòng)，方法是使用對IIS Web服務(wù)器(受到上述漏洞影響而受損)的訪(fǎng)問(wèn)權限，以生成惡意會(huì )話(huà)對象和關(guān)聯(lián)的cookie，并將其存儲在Microsoft SQL 數據庫中。然后，他們將請求發(fā)送到屬于同一基礎結構并使用同一數據庫的其他IIS服務(wù)器，并在請求中包含惡意cookie。這迫使運行在這些服務(wù)器上的應用程序實(shí)例從數據庫加載惡意制作的會(huì )話(huà)對象并將其反序列化，從而導致遠程代碼執行(RCE)。

研究人員還觀(guān)察到Praying Mantis利用其他應用程序中的反序列化漏洞，例如 CVE-2019-18935，這也是一個(gè) RCE 漏洞，源于JSON解析中的不安全反序列化，并影響名為 Telerik UI for ASP.NET AJAX 的產(chǎn)品。Telerik是一套廣泛用于Web應用程序的用戶(hù)界面組件。此外，該組織還使用了另外一個(gè)影響Telerik的較舊的任意文件上傳漏洞(CVE-2017-11317)。

為IIS量身定制的惡意軟件框架

黑客利用這些RCE漏洞反射性地將惡意DLL加載到易受攻擊的Web服務(wù)器的內存中。然后，這個(gè)DLL又反射性地加載了一個(gè)惡意軟件組件。反射加載是一種將惡意DLL注入現有進(jìn)程并Hook其功能的技術(shù)。這種技術(shù)的好處是某些Windows機制(例如在運行時(shí)將DLL注冊為模塊)被繞過(guò)，并且文件實(shí)際上并未寫(xiě)入磁盤(pán);缺點(diǎn)是感染缺乏持久性，由于流氓DLL僅存在于RAM中，因此如果重新啟動(dòng)其父進(jìn)程(parent process)，它將消失。由于這種網(wǎng)絡(luò )服務(wù)器的正常運行時(shí)間很長(cháng)，因此用持久性換取隱匿性是一種有效的手段。

除了反射DLL加載器，Praying Mantis有時(shí)還使用web shell來(lái)加載 NodeIISWeb。當該組織利用CVE-2017-11317等文件上傳漏洞而非基于反序列化的遠程代碼執行漏洞時(shí)，這種情況更為常見(jiàn)，因為web shell本質(zhì)上是上傳到服務(wù)器文件系統的惡意web 腳本/應用程序，可通過(guò)HTTP遠程訪(fǎng)問(wèn)。Praying Mantis的web shell通常是短暫存在的，在部署NodeIISWeb后，該組織會(huì )立即刪除它們。

NodeIISWeb惡意軟件與IIS 輸入驗證功能掛鉤，可以讀取所有傳入服務(wù)器的HTTP流量，這為攻擊者提供了一種控制惡意軟件的方法。由于攻擊者可以通過(guò)這種HTTP機制發(fā)送指令，因此NodeIISWeb不會(huì )生成傳往可能被流量監控解決方案檢測到的命令和控制服務(wù)器的傳出連接。

也就是說(shuō)，惡意軟件程序為T(mén)CP、HTTP 和SQL實(shí)現了多種流量轉發(fā)方法，允許其作為代理或命令和控制通道本身，用于運行在同一網(wǎng)絡(luò )內受感染服務(wù)器上的其他惡意軟件實(shí)例，而這些實(shí)例可能不是直接暴露在互聯(lián)網(wǎng)上。它還可以執行JScript負載并加載擴展其功能的其他DLL模塊。

NodeIISWeb通常用于部署另一個(gè)名為“ExtDLL.dll”的自定義Windows 后門(mén)，該后門(mén)可用于操作文件和目錄、收集系統信息、加載和執行DLL并實(shí)施各種攻擊技術(shù)，例如代碼注入和令牌操作。該組件還hook并操縱系統上存在的各種安全功能以隱藏其活動(dòng)，包括防病毒掃描功能、事件日志報告功能、.NET代碼信任檢查和PowerShell相關(guān)的注冊表項。

NodeIISWeb和ExtDLL.dll加載的附加DLL模塊之一稱(chēng)為“PSRunner.dll”，它允許在主機上運行PowerShell腳本，而無(wú)需生成PowerShell進(jìn)程。另一個(gè)稱(chēng)為“Forward.dll”，可以實(shí)現HTTP流量轉發(fā)功能。“PotatoEx.dll”是權限提升工具和Active Directory映射工具，而“E.dll”是生成自定義HTTP響應的組件，允許攻擊者驗證漏洞是否已在目標IIS服務(wù)器上成功執行。

Praying Mantis利用其對受感染IIS服務(wù)器的訪(fǎng)問(wèn)權限，來(lái)修改現有應用程序的登錄頁(yè)面，以捕獲用戶(hù)憑據，并將其保存在單獨的文件中，還部署了公開(kāi)可用的攻擊性安全工具，包括直接加載到內存中而不留痕跡的SharpHound和PowerSploit。該組織還被發(fā)現使用泄露的域憑據通過(guò)SMB訪(fǎng)問(wèn)內部服務(wù)器上的共享文件夾。

Praying Mantis檢測和預防

由于其內存駐留惡意軟件的易失性，以及該組織對操作安全的深刻認識，想要檢測Praying Mantis的活動(dòng)并不容易。Sygnia 研究人員建議修補.NET反序列化漏洞，搜索報告中發(fā)布的危害指標，使用旨在檢測該組織工具的YARA規則掃描面向Internet的IIS服務(wù)器，并積極尋找IIS環(huán)境中的可疑活動(dòng)。

驗證ASP.NET VIEWSTATE的使用或相同機制的自定義實(shí)現(如 Checkbox Survey中的壓縮 VSTATE)對于保護ASP.NET應用程序免受VIEWSTATE反序列化漏洞影響至關(guān)重要。IIS配置中的enableViewStateMac變量應設置為“True”，而aspnet:AllowInsecureDeserialization變量應設置為“False”。注冊表項AspNetEnforceViewStateMac應設置為“1”，并應小心處理加密和驗證鍵。服務(wù)器應使用自動(dòng)生成的密鑰或者IIS服務(wù)器上的機器密鑰應定期更換，以減少因密鑰被盜或泄露而被濫用的可能性。

研究人員表示：

除了Sygnia發(fā)布的報告外，2020年6月，ACSC也發(fā)布了一份報告，詳細介紹了以澳大利亞公共和私營(yíng)部門(mén)組織為目標的國家支持的威脅組織“Copy-Paste”的策略、技術(shù)和程序。報告中稱(chēng)Copy-Paste使用了各種反序列化的利用，特別是Microsoft IIS服務(wù)器中的Telerik UI漏洞和VIEWSTATE處理。這與Sygnia觀(guān)察到的Praying Mantis活動(dòng)存在部分重疊的妥協(xié)和攻擊技術(shù)指標。兩者是否存在聯(lián)系，暫未可知。

來(lái)源：

原文鏈接：https://www.freebuf.com/news/282716.html