2020年9月,Palo Alto Networks 的網絡安全研究人員開始對科威特一家組織的Microsoft Exchange服務器進行調查,該組織在持續的xHunt攻擊中受到攻擊組織的持續攻擊。研究人員在這項調查中發現了兩個新的后門,分別稱為TriFive和Snugy,以及一個名為BumbleBee的新Webshell漏洞,研究人員將在此文中對其進行詳細說明。
攻擊者使用BumbleBee WebShell在受感染的Exchange服務器上上傳文件或從受感染的Exchange服務器上下載文件,但更重要的是,運行攻擊者用來發現其他系統并橫向移動到網絡上其他服務器的命令。研究人員發現BumbleBee托管在internal Internet Information Services (IIS) Web服務器上,該Web服務器與受感染的Exchange服務器位于同一網絡上,還托管在其他兩個科威特組織的兩個內部IIS Web服務器上,研究人員目前仍然不知道用于攻擊Exchange服務器的初始感染媒介。
研究人員觀察到,該攻擊者直接與科威特組織受感染的Exchange服務器上的BumbleBee Webshell交互,因為可以從Internet上訪問該服務器。當直接訪問可訪問Internet的服務器上的BumbleBee時,攻擊者使用了Private Internet Access提供的虛擬專用網絡(VPN)。攻擊者會經常在不同的VPN服務器之間切換,以更改服務器將存儲在日志中的活動的外部IP地址。具體來說,攻擊者將IP地址更改為不同的國家,包括比利時、德國、愛爾蘭、意大利、盧森堡、荷蘭、波蘭、葡萄牙、瑞典和英國。研究人員認為,這是在逃避檢測并使惡意活動的分析更加困難的嘗試。研究人員還觀察到攻擊者在不同的操作系統和瀏覽器之間切換,尤其是在Windows 10,Windows 8.1或Linux系統上的Mozilla Firefox或Google Chrome。這表明攻擊者可以訪問多個系統,并使用它來使活動分析更加困難,或者涉及多個攻擊者,他們對操作系統和瀏覽器的偏好不同。
除了使用VPN外,攻擊者還使用SSH隧道與托管在內部IIS Web服務器上的BumbleBee Webshell進行交互,而這三個科威特組織都無法直接通過Internet進行訪問。通過BumbleBee在服務器上執行的命令表明,攻擊者使用PuTTY鏈接(Plink)工具創建SSH隧道來訪問受感染網絡內部的服務。研究人員觀察到攻擊者使用Plink為TCP端口3389創建SSH隧道,這表明攻擊者使用隧道使用遠程桌面協議(RDP)訪問系統。研究人員還觀察到攻擊者在為TCP端口80創建到內部服務器的SSH隧道,這表明攻擊者使用隧道來訪問內部IIS Web服務器。研究人員相信攻擊者可以訪問這些其他內部IIS Web服務器,以利用內部Web應用程序中的文件上傳功能來安裝BumbleBee,作為橫向移動的一種方法。
BumbleBee Webshell
參與xHunt活動的攻擊組織入侵了科威特組織的Exchange服務器,并安裝了一個研究人員稱為BumbleBee的WebShell。研究人員將Webshell稱為BumbleBee(大黃蜂),是因為Webshell的配色方案包括白色、黑色和黃色,如圖1所示,BumbleBee非常簡單。它允許攻擊者執行命令,以及向服務器上傳文件和從服務器上傳文件。BumbleBee有趣的部分是,它要求攻擊者提供一個密碼來查看Webshell,并提供第二個密碼才能與Webshell交互。
xHunt 攻擊者使用的BumbleBee Webshell在Microsoft Exchange Server上運行命令
要查看BumbleBee Webshell,攻擊者必須在名為parameter的URL參數中提供密碼。否則,用于與BumbleBee進行交互的表單將不會顯示在瀏覽器中。為了檢查提供的密碼以進行身份驗證,Webshell程序將生成參數值的MD5哈希值,并使用硬編碼的MD5哈希值進行檢查,在受感染的Exchange服務器上托管的BumbleBee示例中,研究人員發現該密碼的MD5哈希值為
1B2F81BD2D39E60F1E1AD05DD3BF9F56字符串fkeYMvKUQlA5asR。一旦顯示,BumbleBee將為攻擊者提供三個主要功能:
1.通過cmd / c執行命令;
2.將文件上傳到服務器的指定文件夾(默認為c:\windows\temp);
3.從服務器下載文件;
要執行這些功能中的任何一個,攻擊者必須提供第二個密碼(在圖1中帶有“password”標簽的字段中)。BumbleBee Webshell將生成密碼的MD5哈希值,并在執行功能之前使用硬編碼的MD5哈希值對其進行檢查。在執行攻擊者所需的操作之前檢查的MD5哈希值為36252C6C2F616C5664A54058F33EF463,但很遺憾,研究人員無法確定此密碼的字符串形式。盡管研究人員不知道使用BumbleBee功能所需的密碼,但是研究人員能夠通過分析來自受感染的Exchange服務器的日志來確定通過webshell執行的命令,后面部分中將詳細討論。
在進行分析時,研究人員發現了另一個BumbleBee Webshell,其中包含不同的MD5哈希值以查看Webshell和執行命令,分別是A2B4D934D394B54672EA10CA8A65C198和28D968F26028D956E6F1199092A1C408。雖然可以確定A2B4D934D394B54672EA10CA8A65C198的哈希值是密碼TshuYoOARg3fndI,但研究人員無法確定第二個哈希值的字符串。該Webshell托管在同一科威特組織的內部IIS Web服務器上,該原始Web站點在受感染的Exchange服務器上找到了原始BumbleBee。研究人員還發現該特定的BumbleBee示例駐留在科威特其他兩個組織的內部IIS Web服務器上。研究人員能夠從兩個科威特組織之一的內部IIS Web服務器收集終端日志,以確定通過BumbleBee執行的命令。
與受攻擊的Microsoft Exchange Server的交互
為了確定攻擊者與科威特組織的受感染Exchange服務器有關的活動,研究人員從Exchange服務器收集了IIS服務器日志以及Cortex XDR為系統生成的日志。在IIS日志中,研究人員能夠觀察到當攻擊者通過受感染的Exchange服務器上安裝的BumbleBee WebShell發布命令時生成的HTTP POST請求。使用IIS日志,研究人員還可以觀察到攻擊者通過Outlook Web App登錄到受感染的電子郵件帳戶,并在登錄后執行特定的活動,例如查看電子郵件和在受感染的網絡上搜索其他電子郵件帳戶。
不幸的是,受感染的Exchange服務器無法記錄POST請求中的數據,因此盡管研究人員知道從這些日志中發出了多少命令,但研究人員不知道攻擊者執行的實際命令。另外,從2020年1月31日到2020年9月16日,研究人員只能收集34天的日志,其中不包括來自受感染Exchange服務器的所有IIS日志。由于沒有日志記錄,研究人員無法完整了解活動情況,甚至無法了解攻擊者與受感染的Exchange服務器進行交互的開始情況。例如,IIS日志顯示了2020年2月1日的第一個BumbleBee Webshell活動,但它們還顯示了TriFive后門程序從2020年1月31日上午開始每五分鐘登錄一個受感染的電子郵件帳戶。TriFive信標每五分鐘顯示一次,它是通過研究人員先前與該事件有關的后門博客中討論的計劃任務重復運行的,這還表明該攻擊者已經可以在研究人員收集的日志顯示之前持續訪問受感染的Exchange服務器。
使用研究人員能夠從受感染的Exchange服務器收集的IIS日志,研究人員可以匯總攻擊者活動的時間表,包括與BumbleBee Webshell的交互。2020年2月1日至7月27日,攻擊者使用受感染的憑據通過Outlook Web App登錄到Exchange服務器。攻擊者使用Outlook Web App中的搜索功能來搜索電子郵件地址,包括搜索受感染科威特組織的域名以獲取電子郵件地址的完整列表以及特定的關鍵字(例如服務臺)。研究人員還看到攻擊者在受感染帳戶的收件箱中查看電子郵件,特別是來自服務提供商和技術供應商的電子郵件。此外,攻擊者還查看了來自Symantec產品和Fortinet的FortiWeb產品的警報電子郵件。搜索發往服務臺的電子郵件并查看安全警報電子郵件的行為表明,攻擊攻擊者有興趣確定科威特組織是否已意識到惡意活動的存在。