思科 Talos 事件響應 ( Talos IR ) 報告稱,與前幾個季度相比,web shell 是 2023 年第一季度最常見的威脅,占 Talos IR 發現的近四分之一。這些 web shell 的功能以及它們針對的平台中的特定漏洞和弱點各不相同。盡管每個 web shell 都有自己的基本功能集,但當每次攻擊中存在多個 web shell 時,攻擊者會将它們鏈接在一起,以提供更靈活的工具包,以便在整個網絡中傳播訪問。這展示了攻擊者在組合多種訪問方式和工具方面的技能,并增加了他們部署額外惡意軟件或獲取敏感和私人信息的可能性。
勒索軟件在本季度的威脅中所占的比例比過去有所下降,從 20% 降至 10% 左右。鑒于 Talos IR 在本季度末觀察到勒索軟件事件的激增,這種減少并不一定意味着一般勒索軟件活動的減少,因爲它反映了針對 Talos IR 客戶群的活動。然而,勒索軟件和預勒索軟件事件加起來占觀察到的威脅的 20% 以上。如果勒索軟件從未執行,并且沒有進行加密,那麽很難确定什麽構成了勒索軟件前的攻擊,但許多勒索軟件前的活動都與著名的勒索軟件組織 ( 如 Vice Society ) 有關。
本季度還出現了以前看到的大型加載程序,如 Qakbot。在本季度的活動中,Qakbot 利用了惡意 OneNote 文檔,這與傳播武器化 Microsoft Office OneNote 附件的各種惡意軟件的增加相一緻。這表明,在微軟于 2022 年 7 月開始在其應用程序中默認禁用宏之後,攻擊者正在嘗試使用不依賴宏的文件類型來傳遞惡意有效載荷。
在超過 45% 的攻擊中,攻擊者利用面向公衆的應用程序建立初始訪問,比上一季度的 15% 有了顯著增長。在許多此類攻擊中,web shell 的使用導緻攻擊者試圖攻擊暴露在互聯網上的基于 web 的服務器。
醫療保健和公共衛生是本季度受攻擊最多的行業,緊随其後的是零售和貿易、房地産和食品服務 / 住宿行業,包括酒店業。
Web shell 使用激增,FIN13 的活動
Talos IR 觀察到,自 2023 年 1 月以來,web shell 的使用量從上個季度占所有威脅的 6% 增加到現在占所有威脅的近 25%。Web shell 是一種惡意腳本,它使攻擊者能夠攻擊暴露在互聯網上的基于 Web 的服務器。本季度,Talos 觀察到攻擊者使用公開可用的或修改過的 web shell,這些 shell 用各種語言編碼,包括 PHP, ASP.NET 和 Perl。在利用 web shell 建立立足點并獲得對系統的持久訪問後,攻擊者遠程執行任意代碼或命令,在網絡内橫向移動,或傳播額外的惡意有效負載。在許多類似 web shell 事件中,攻擊者嚴重依賴于來自公開可用的 GitHub 存儲庫的 web shell 代碼。這一發現也符合 2022 年 7 月至 9 月 ( 2022 年第三季度 ) Talos IR 觀察到的趨勢,攻擊者使用 GitHub 存儲庫上托管的各種開源工具和腳本來支持跨攻擊生命周期多個階段的操作。
在一個 Web shell 活動集群中,Talos 觀察到目标模式和策略、技術和程序 ( TTPs ) 可能與 FIN13 攻擊者相關,這是 Talos IR 的一個重要發現。具有已知 FIN13 TTP 的 web shell 具有不同級别的功能,包括允許對 Microsoft SQL(MS-SQL)實例進行查詢,創建與外部 IP 地址的反向 shell 連接,以及執行可以用作連接到其他服務的代理的 PHP 腳本。與 FIN13 的公開報告一緻,Talos IR 觀察到一個基于 php 的 web shell ( "404.php" ) 獲取 IP 或 DNS 條目和端口并試圖創建代理連接。
第二個 web shell ( "ms3.aspx" ) 是基于 windows 的,允許 SQL 連接到内部服務器,如果成功,結果将在浏覽器中呈現。第三個是另一個基于 php 的 web shell ( "re.php" ) ,它執行端口掃描并創建一個出站套接字來響應 / 洩漏數據給攻擊者。這個特定的 web shell 包含一個硬編碼的 IP 地址,解析到雲服務提供商 DigitalOcean。
最後的 web shell ( "txt .asp" ) 是一個基于 windows 的 web shell,它使用 "wscript.shell" 和 exec ( ) 來運行通過 HTML 文檔呈現在屏幕上的命令。雖然每個 web shell 本身都具有基本功能,但通過将它們鏈接在一起,攻擊者創建了一個靈活的工具包,這樣可以在整個網絡中傳播它們的訪問權限,同時提供一個代理來盜竊敏感數據。
雖然本季度 web shell 出現的确切原因尚不清楚,但它們最近越來越受歡迎很可能與從開源存儲庫獲取代碼的便利性有關。開放源代碼 web shell 代碼的可用性和易于訪問性,加上可能公開暴露的系統或管理不善的補丁,使得使用 web shell 成爲一個有利可圖的選擇。
勒索軟件
勒索軟件在本季度的威脅中所占的比例要小得多,從 20% 降至 10%。展望未來,最近勒索軟件業務激增,我們預計下個季度将再次趨于平穩。綜合來看,勒索軟件和預勒索軟件事件加起來占觀察到的攻擊的 20% 以上。
Talos IR 自 2020 年以來一直在應對 Phobos 勒索軟件攻擊,最初的訪問可能涉及遠程桌面協議 ( RDP ) 。攻擊者部署了一個名爲名爲 "mimidrv.sys" 的文件。這是一個簽名的 Windows 内核模式軟件驅動程序,旨在與 Mimikatz 可執行文件一起使用。Talos IR 還識别出了 7 個啓動項目,其中包括下載勒索軟件可執行文件 "Fast.exe"。這是一種常見的持久性技術,在攻擊者對客戶的 Amazon Relational Database Service ( RDS ) 服務器上的注冊表進行修改的活動之後使用。加密後,攻擊者對文件進行了加密,并在文件中添加了 ".fust" 擴展名,并在目标設備上發送了一封勒索信。
本季度研究人員還發現了 Daixin 勒索軟件,這是一個新的勒索軟件即服務(RaaS)家族,Talos IR 以前從未看到過。據美國網絡安全和基礎設施安全局(CISA)稱,2022 年 6 月首次出現的 Daixin 通常通過附屬公司的虛拟專用網絡(VPN)服務器或利用未修補的漏洞訪問受害者系統。在 Daixin 發起的一次攻擊中,攻擊者通過附屬公司修改了注冊表值,映射了網絡共享,并将随機命名的 BAT 文件作爲系統上的服務運行。Talos IR 還識别了 Impacket 工具集,一個用于處理不同網絡協議的 Python 類集合,以及一個加載 Cobalt Strike 有效載荷的 PowerShell 腳本,該腳本随後在 4444 端口上啓動了 Cobalt Strike shellcode 偵聽。
研究人員分析,新的惡意軟件家族的出現可能與最近執法部門打擊勒索軟件攻擊者的行動有關,舊組織的消亡将爲新組織的出現創造空間,這個現象之前就發生過。2023 年 1 月,美國司法部宣布對 Hive 勒索軟件組織進行爲期數月的行動。美國聯邦調查局與外國執法合作夥伴一起,進入 Hive 網絡并獲取解密其軟件的密鑰後,繳獲了其服務器,有效地破壞了 Hive。自 2022 年 8 月以來,研究人員沒有在 Talos IR 活動中觀察到 Hive 勒索軟件,這可能表明 Hive 操作已經停止,而前成員可能已經加入其他組織或以新名稱重新另起爐竈。
惡意 OneNote 文檔在本季度繼續被利用
從 2022 年底到 2023 年初,Qakbot 加載程序在本季度的所有活動中都利用了包含惡意 OneNote 文檔的 ZIP 文件,這與終端遙測和關于網絡釣魚電子郵件中利用 OneNote 文檔的威脅的公開報告一緻。在一次 Qakbot 活動中,一個 ZIP 文件 ( "Inv_02_02_#3.zip" ) 被檢測爲 Qakbot,其中包含一個惡意的 OneNote 文檔,該文檔試圖引誘用戶點擊 " 打開 ",其中包含一個惡意的嵌入式 URL。
雖然 Talos IR 本季度沒有對任何 Emotet 事件做出回應,但 Emotet 在中斷數月後,于 2023 年 3 月重新出現,恢複了其發送的垃圾郵件業務。在相對較短的時間内,Emotet 多次修改其感染鏈,以最大限度地提高成功感染受害者的可能性。到 3 月中旬,Emotet 已開始傳播惡意 OneNote 文檔,這表明攻擊者将繼續用更新的傳播方法來感染受害者。
初始攻擊載體
本季度有 45% 的攻擊者利用面向公衆的應用程序建立初始訪問權限,比上一季度的 15% 有顯著增長。在許多此類攻擊中,web shell 的使用導緻攻擊者試圖攻擊暴露在互聯網上的基于 web 的服務器。有效帳戶或具有弱密碼或單因素身份驗證的帳戶也有助于在攻擊者利用受感染憑據的情況下進行初始訪問。
一些已知的漏洞導緻對手通過利用面向公衆的應用程序獲得初始訪問權限。在一次攻擊活動中,Talos IR 在 AccessPress 插件和主題中發現了與 WordPress 漏洞利用相一緻的活動,經确定爲 CVE-221-24867。目前,Talos IR 發現了大約 20 個不同的 web shell,可能來自多個攻擊者識别和利用這個舊漏洞。
在另一個 web shell 攻擊中,Talos IR 發現了一個易受攻擊的 Magento ( Adobe Commerce ) 2.4.2 版本,該版本在被利用時正在 Kubernetes 部署中運行。Talos IR 總共發現了該版本軟件的九個已知漏洞,不包括擴展。Talos IR 建議将 Magento 的所有實例升級到最新的可用版本,并定期檢查需要修補或完全删除的易受攻擊的過時擴展版本,以減少可用的攻擊面。
安全漏洞
缺乏多因素身份驗證 ( MFA ) 仍然是企業安全的最大障礙之一。近 30% 的組織要麽沒有 MFA,要麽隻在少數賬戶和關鍵服務上啓用了 MFA。Talos IR 經常觀察到勒索軟件和網絡釣魚事件,如果在關鍵服務,如終端檢測響應 ( EDR ) 解決方案或 vpn 上正确啓用 MFA,其實這些事件本可以避免。爲最大限度緩解初始訪問載體,Talos IR 建議禁用所有未使用 MFA 的帳戶的 VPN 訪問。
web shell 攻擊的增加凸顯了在幫助防止 web shell 方面提高警惕的必要性。緩解措施如下所示:
定期更新和修補所有軟件和操作系統,以識别和修複 web 應用程序和 web 服務器中的漏洞或錯誤配置;
除了修複漏洞之外,還要執行一般的系統強化,包括删除不必要的服務或協議,并注意所有直接暴露在互聯網上的系統;
禁用 "php.ini" 中不必要的 php 函數,例如 eval ( ) , exec ( ) , peopen ( ) , proc_open ( ) 和 passthru ( ) ;
經常審計和審查來自 web 服務器的異常活動日志;
觀察到的 MITRE ATT 和 CK 技術最多
下表顯示了本季度 Talos IR 觀察到的 MITRE ATT 和 CK 技術。考慮到一些技術可以屬于多種策略,我們将它們分組在最相關的策略中。
MITRE ATT&CK 框架的主要發現包括:
利用面向公衆的應用程序是觀察到的最常見的初始訪問技術,而增加的 web shell 活動可能有助于這一重大觀察。
攻擊者經常使用 PowerShell 來支持多種威脅,研究人員已經觀察到 PowerShell 的高使用率,此外還有許多其他腳本語言,包括 Python、Unix shell 和 Windows 命令 shell,它們支持 web shell 執行。
開源安全工具包 Mimikatz 在本季度被用于支持近 60% 的勒索軟件和預勒索軟件。Mimikatz 是一種廣泛使用的漏洞利用後工具,用于從受攻擊的 Windows 系統中竊取登錄 ID、密碼和身份驗證令牌。
1.Initial Access ( TA0001 ) ,T1190 Exploit Public-Facing Application,Reconnaissance ( TA0043 ) ,攻擊者成功地利用了一個公開暴露在互聯網上的易受攻擊的應用程序;
2.T1592 Gather Victim Host Information,Persistence ( TA0003 ) ,文本文件包含主機的詳細信息;
3,T1505.003 Server Software Component: Web Shell,攻擊者對基于 web 的服務器部署 web shell;
4.Execution ( TA0002 ) ,T1059.001 Command and Scripting Interpreter: PowerShell,執行 PowerShell 代碼來檢索有關客戶端 Active Directory 環境的信息;
5.Discovery ( TA0007 ) ,T1046 Network Service Scanning,使用網絡或端口掃描工具;
6.Credential Access ( TA0006 ) ,T1003 OS Credential Dumping,部署 Mimikatz 和公開可用的密碼查找實用程序;
7.Privilege Escalation ( TA0004 ) ,1484 Domain Policy Modification,修改 GPO 以執行惡意文件;
8.Lateral Movement ( TA0008 ) ,T1021.001 Remote Desktop Protocol,攻擊者試圖使用 Windows 遠程桌面進行橫向移動;
9.Defense Evasion ( TA0005 ) ,T1027 Obfuscated Files or Information,使用 base64 編碼的 PowerShell 腳本;
10.Command and Control ( TA0011 ) ,T1105 Ingress Tool Transfer,攻擊者從外部系統傳輸 / 下載工具;
11.Impact ( TA0040 ) ,T1486 Data Encrypted for Impact,部署 Hive 勒索軟件并加密關鍵系統;
12.Exfiltration ( TA0010 ) ,T1567 Exfiltration Over Web Service,使用合法的外部 web 服務來獲取系統信息;
13.Collection ( TA0009 ) ,T1560.001 Archive Collected Data ,攻擊者利用 Windows 上的 xcopy 複制文件;
14.Software/Tool,S0002 Mimikatz,使用 Mimikatz 獲取帳戶登錄名和密碼;
