【资源之家】每日免费更新最热门的副业项目资源

最近,在客户现场发现了一种新型攻击活动,其中XMRig CoinMiner安装在运行Apache的Windows Web服务器上。黑客使用Cobalt Strike来控制受感染的系统(Cobalt Strike 是一种商业渗透测试工具,最近被用作在大多数攻击(包括 APT 和勒索软件)中)。

图1 由Apache Web服务(httpd.exe)安装的Cobalt Strike

针对Apache Web服务器的攻击

目标系统是安装了旧版本Apache Web服务和PHP的业务系统。虽然尚未确定具体的攻击方法,但很可能针对未打补丁的 Apache Web 服务器进行各种漏洞攻击。

图2 攻击中使用的PHP Web Shell 恶意软件

攻击方通过已安装的Web外壳或漏洞攻击上传并执行了恶意软件。攻击目标是httpd.exe进程,即Apache Web服务器。因此,httpd.exe 会执行恶意行为,例如创建和运行恶意软件。

请注意,为 Web 服务进程创建文件和执行进程等行为并不总是用于恶意目的,这些可能发生在合法的更新过程中,或者在管理员处理Web服务器管理任务时发生。因此,常见的反恶意软件产品在一定程度上无法很好地阻止此类行为。

攻击中使用的 Cobalt Strike

信标(Beacon)是 Cobalt Strike 的代理,充当后门。Cobalt Strike 提供各种形式的信标.根据方法的不同,它们可以分为有阶段或无阶段。

恶意软件Stager从外部源下载信标并在内存区域中执行它。由于此方法实际上不包含信标,因此它的大小很小,并且需要额外的步骤来下载信标。另一方面,使用无阶段方法创建的 Cobalt Strike 包含一个信标,并且文件大小高于特定阈值。

图3 下载加密信标的Stager恶意软件

为了逃避文件检测,攻击者对所使用的恶意软件进行了混淆,包括使用 Golang或PyInstaller。攻击中使用的大多数恶意软件都使用无阶段方法。但是,PyInstaller开发的恶意软件是一种使用Stager的下载器恶意软件(下载 Cobalt Strike 并在内存中执行它)。

信标还可以通过HTTP等协议与C&C服务器通信,由于在横向移动阶段安装在内部网络中的信标不会与外部网络连接,因而使用通过SMB协议通信的B信标。

由于攻击中使用的Cobalt Strike实例都用于在初始渗透后控制受感染的系统,因此它们使用HTTP协议与C&C服务器进行通信。以下是在攻击中使用的 Cobalt Strike实例中使用Cobalt Strike Parser提取配置数据 的结果。下图可以看到各类设置,不仅包括 C&C 服务器地址,还包括用户代理和注入目标进程。

图4 Cobalt Strike设置数据

攻击中使用的Cobalt Strike实例具有多种形式,例如Go和PyInstaller,但在所有情况下,C&C服务器都使用了相同的IP地址。

安装其他恶意软件

在尝试安装 Cobalt Strike 后,它继续尝试额外安装Gh0st RAT。当通过这些尝试获得对受感染系统的控制权时,最终会安装门罗币挖掘的 CoinMiner。

图5 XMRig通信数据包

由于除了安装远程控制恶意软件和CoinMiner的日志外,没有发现其它日志,因此认为攻击者的最终目标是使用管理不善的Web服务器的资源来挖掘门罗币并赚取利润。

结论

最近,已经发现了在具有Apache Web服务的Windows服务器上安装 Cobalt Strike的攻击,并且从日志中可以看出,黑客攻击了管理不善的Web服务器或具有未修补漏洞的Web服务器。

Cobalt Strike 是一种商业渗透测试工具,最近被用作在大多数攻击(包括 APT 和勒索软件)中主导内部系统的介质,管理员必须提前检查Web服务器中是否存在文件上传漏洞,防止WebShell上传的初始渗透路径。此外,必须定期更改Apache的密码,并且必须采取访问控制措施,以应对使用被盗帐户凭据的横向移动攻击。

【资源之家】每日免费更新最热门的副业项目资源

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源