最近,在客户现场发现了一种新型攻击活动,其中XMRig CoinMiner安装在运行Apache的Windows Web服务器上。黑客使用Cobalt Strike来控制受感染的系统(Cobalt Strike 是一种商业渗透测试工具,最近被用作在大多数攻击(包括 APT 和勒索软件)中)。
图1 由Apache Web服务(httpd.exe)安装的Cobalt Strike
针对Apache Web服务器的攻击
目标系统是安装了旧版本Apache Web服务和PHP的业务系统。虽然尚未确定具体的攻击方法,但很可能针对未打补丁的 Apache Web 服务器进行各种漏洞攻击。
图2 攻击中使用的PHP Web Shell 恶意软件
攻击方通过已安装的Web外壳或漏洞攻击上传并执行了恶意软件。攻击目标是httpd.exe进程,即Apache Web服务器。因此,httpd.exe 会执行恶意行为,例如创建和运行恶意软件。
请注意,为 Web 服务进程创建文件和执行进程等行为并不总是用于恶意目的,这些可能发生在合法的更新过程中,或者在管理员处理Web服务器管理任务时发生。因此,常见的反恶意软件产品在一定程度上无法很好地阻止此类行为。
攻击中使用的 Cobalt Strike
信标(Beacon)是 Cobalt Strike 的代理,充当后门。Cobalt Strike 提供各种形式的信标.根据方法的不同,它们可以分为有阶段或无阶段。
恶意软件Stager从外部源下载信标并在内存区域中执行它。由于此方法实际上不包含信标,因此它的大小很小,并且需要额外的步骤来下载信标。另一方面,使用无阶段方法创建的 Cobalt Strike 包含一个信标,并且文件大小高于特定阈值。
图3 下载加密信标的Stager恶意软件
为了逃避文件检测,攻击者对所使用的恶意软件进行了混淆,包括使用 Golang或PyInstaller。攻击中使用的大多数恶意软件都使用无阶段方法。但是,PyInstaller开发的恶意软件是一种使用Stager的下载器恶意软件(下载 Cobalt Strike 并在内存中执行它)。
信标还可以通过HTTP等协议与C&C服务器通信,由于在横向移动阶段安装在内部网络中的信标不会与外部网络连接,因而使用通过SMB协议通信的B信标。
由于攻击中使用的Cobalt Strike实例都用于在初始渗透后控制受感染的系统,因此它们使用HTTP协议与C&C服务器进行通信。以下是在攻击中使用的 Cobalt Strike实例中使用Cobalt Strike Parser提取配置数据 的结果。下图可以看到各类设置,不仅包括 C&C 服务器地址,还包括用户代理和注入目标进程。
图4 Cobalt Strike设置数据
攻击中使用的Cobalt Strike实例具有多种形式,例如Go和PyInstaller,但在所有情况下,C&C服务器都使用了相同的IP地址。
安装其他恶意软件
在尝试安装 Cobalt Strike 后,它继续尝试额外安装Gh0st RAT。当通过这些尝试获得对受感染系统的控制权时,最终会安装门罗币挖掘的 CoinMiner。
图5 XMRig通信数据包
由于除了安装远程控制恶意软件和CoinMiner的日志外,没有发现其它日志,因此认为攻击者的最终目标是使用管理不善的Web服务器的资源来挖掘门罗币并赚取利润。
结论
最近,已经发现了在具有Apache Web服务的Windows服务器上安装 Cobalt Strike的攻击,并且从日志中可以看出,黑客攻击了管理不善的Web服务器或具有未修补漏洞的Web服务器。
Cobalt Strike 是一种商业渗透测试工具,最近被用作在大多数攻击(包括 APT 和勒索软件)中主导内部系统的介质,管理员必须提前检查Web服务器中是否存在文件上传漏洞,防止WebShell上传的初始渗透路径。此外,必须定期更改Apache的密码,并且必须采取访问控制措施,以应对使用被盗帐户凭据的横向移动攻击。
