Trend Micro™ Managed XDR 精英团队近期研究出一种办法,取得成功防御力了一种隐藏的双层攻击个人行为,该攻击从被充分利用的终端设备系统漏洞慢慢发展趋势为应用合理合法的远程登录专用工具(包含远程桌面连接协议书 (RDP) )做为其最后攻击方式。
那攻击者是如何进行隐藏的双层攻击的呢?最先运用终端设备系统漏洞做为横向移动的途径。从根据 ProxyShell 系统漏洞在受影响的网站服务器中组装 web shell方式逐渐,此攻击个人行为一直进步到应用合理合法的远程登录专用工具,包含远程桌面连接协议书 (RDP) 做为其最后攻击方式。
研究工作人员最先在商品防护的终端设备中看见了恶意程序,虽说传统式的终端设备维护服务平台 (EPP) 将于此环节终止检测,但 MDR 将检测的环境考虑到以内。检测出是一个标志为 Possible_SMWEBSHELLYXBH5A 的 Web Shell 恶意程序,该恶意程序坐落于 Microsoft Exchange 服务器上。这说明网络服务器很有可能因一个系统漏洞而受到破坏。在本例中,该系统漏洞最有可能涉及到三个ProxyShell系统漏洞:CVE-2021-31207、CVE-2021-34473 和 CVE-2021-34523。这促进研究精英团队激话事情回应方式并提示他的客户。
远程控制的第一层:web shell
通过进一步核查,研究工作人员检测到好几个异常的 Web shell 文档,这种文档能够为攻击者给予一种从服务器远程控制终端设备的方式。
事情的原始日志
Trend Micro Vision One™ 完成的渐进性直接原因剖析 (PRCA) 使研究工作人员可以将 Web shell 文档的建立上溯到合理合法的 Exchange 手机软件二进制文件 MSExchangeMailboxReplication.exe。
web shell 文档的检测
TightVNC能够合理合法应用,文件位置的前后文是一个Exchange服务器,研究工作人员发觉,故意攻击者的确使用了ProxyShell系统漏洞。
第二层远程控制:应用合理合法专用工具TightVNC
MDR在终端设备中寻找正规的远程登录专用工具TightVNC。而这一应用软件一般不容易在这一前后文中寻找。顾客确定 TightVNC 不容易变成自然环境的一部分,因而研究人员要求顾客将其卸载掉。
伴随着文档根据另一层远程控制重装,接着对 PRCA 的监测和应用使研究工作人员可以跟踪 TightVNC 的再次发生。
第三层远程控制:侧门PowerShell脚本制作
PowerShell 脚本制作的检测
故意攻击者并没因而而胆怯,建立并实行了一个 PowerShell 脚本制作,研究工作人员观查到该脚本制作为 C:\Windows\System32\AppLocker\winServicePrinter.ps1(检测为 Backdoor.PS1.REVSHELL.AB),这是一个反向 shell。其实施的方法包含以下几点:重装和实行 TightVNC。
Ngrok 的免费下载和实行,研究工作人员的汇报名为“剖析一个涉及到Ngrok的繁杂攻击链”带来了一个全方位的探讨。
Ngrok 的检测
进一步数据调查报告,Ngrok 应用的 auth_token 来源于电子邮箱地址 excizewn[@]gmail[.]com。这很有可能是一个可以依据必须被删掉的虚似账号。
Ngrok被用于根据Ngrok服务端向互联网技术开放端口3389和443。这将研究工作人员送到了第四层都是最后一层远程控制。
第四层远程控制:RDP
最终,故意攻击者使用了 RDP,这是一种内放置 Microsoft Windows 里的合理合法远程控制专用工具。 RDP 带来了一个插口,容许终端用户根据数据连接联接到另一台电子计算机。一直以来,RDP 一直被攻击者乱用来盗取数据信息做为攻击的一部分,以盗取能够在地下售卖的消息,进而使网络黑客可以将遭劫持的信息系统集成到互联网是以开展比较严重的攻击。
伴随着很多机构选用远程工作联接适用的混和工作模式,RDP 的应用越来越更为广泛,这致使很多 IT 精英团队将 RDP 总流量视作正常的且无污染的。但是,这些有可能的误会使 RDP 变成尝试避开检测的攻击者的攻击媒体。除非是大家高度关注数据监测,不然安全性精英团队极有可能遮盖这一事情,因为它能够被表述为接入到同一系统软件的两种客户间的一般互动。
趋势科技 MDR 检测包含解决方法跨全部安全性层整理的信息,包含但是不限于电子邮箱、终端设备、网络服务器、云工作中负荷和互联网。 MDR 服务平台从每一个安全性层搜集各种各样数据监测,以检测不明威协并推动直接原因剖析。
在最后一层,RDP的确被采用的唯一直接证据是下边的检测部位。
MDR 检测
留意rdpclip过程在数据归档lsass.exe以前在机器设备上实行的案例。RDP Clip 是一个正规的 Windows 文档,用来监测和管理方法当地计算机和客户从另一个位置控制的远程桌面连接中间的共享资源剪切板。此终端设备的目标是凭据数据归档,以横向移动为目地。
从 LSASS 过程运行内存中数据归档凭据
幸运的是,研究工作人员能从根据云主机观查到最开始攻击的那一刻起,为顾客给予立即的报警和干涉,直至在清洗和挽救情况下提供指导。
该类事情为安全性精英团队带来了从不同角度以整体方法查询攻击的机遇。研究工作人员在下边探讨机构在选用积极网络信息安全方式以保证并对系统软件开展较大维护时可以选择的核心看法。
MDR 检测了很多 Possible_Webshell 检测。检测到的文档的名称是任意的,他们被置放在一般在 Internet 数据服务(IIS) 案例中寻找网络服务器脚本制作的文件目录中。由 Microsoft 建立,IIS 是一种可与 Windows NT 系列产品一起应用的可扩展 Web 服务器程序。这会非常有趣,由于最先它看上去不像一个检测,次之,检测到的含有任意名字的大量文件很有可能代表着有一个攻击者企图在服务器上置放一些 web shell。之后,研究工作人员留意到 web shell 主题活动说明攻击者成功地嵌入了起码一个它们可以浏览的 web shell。
TightVNC 和 Ngrok 全是合理合法的应用软件,已被攻击者乱用以实现故意目地。仅借助 EPP 检测可能消弱安全性精英团队将该类乱用专用工具的存有视作比较严重攻击的危险信号的工作能力。 MDR 跨好几个安全性层全自动搜集和关联数据,进而明显提升威协检测、调研和回应的的速度。在这样的情况下,MDR 的集成化方式带来了协助安全性投资分析师关系事情链以实现精确威协评定和适度回应的前后文。
从攻击者的视角看来,面对外面的易受攻击的网络服务器为她们带来了进到自然环境的途径。为了能夯实出发点并达到目标,她们应用 TightVNC 和 Ngrok 做为远程控制终端设备的方式。在这个阶段,她们有 web shell 感柒的网络服务器、一个一般的远程软件(EPP 没法检测到)和一个隧道施工应用软件,EPP 也没法检测到。
汇总
机构能从此次恶性事件中汲取许多经验教训。一是机构无法仅借助 EPP 来阻拦不断存在的威协,因为它没法给予初期检测、调研和回应。文中所讲的一系列攻击全是应用秘密方式攻击系统软件,包含跨好几个安全性层的看起来无毒的专用工具。攻击的多元性使安全性精英团队和威协研究工作人员在剖析事情链对其现阶段的威协情景有一个明确的前后文了解层面面临另外的考验。
另一个重要的经验教训是,即使是最合理的专用工具,如RDP,也有可能成为一个威协媒介,由于故意攻击者一直尝试利用这种良好专用工具进行攻击。
