В современном киберпространстве, где атаки становятся все более изощренными, понимание методов киберпреступников и способов защиты от них является критически важным. Одним из таких методов является использование веб-шеллов – вредоносных скриптов, позволяющих злоумышленникам удаленно управлять сервером. Рассмотрим на конкретном примере, как происходит подобная атака и какие меры необходимо предпринять для защиты.
Началось все с того, что система мониторинга Trend Micro™ Managed XDR зафиксировала подозрительную активность процесса
Веб-шелл, расположенный по пути
Затем, для установления постоянного канала управления, хакеры запустили закодированную PowerShell команду, которая создала обратный TCP-шелл, подключенный к внешнему IP-адресу 86.48.10[.]109. После этого на сервер был загружен целый арсенал вредоносных инструментов, а именно:
Собрав всю необходимую информацию и закрепившись в системе, злоумышленники приступили к сбору и краже данных. Используя утилиту 7zip, они запаковали рабочий каталог сервера в архив
Технический анализ обнаруженных веб-шеллов выявил различные методы их работы.
Вредоносный файл
Для пресечения атаки, были приняты следующие меры: изолирование сервера от сети, сбор вредоносных файлов для анализа и анализ дополнительных логов. В качестве рекомендаций по предотвращению подобных атак были предложены следующие меры: отключение возможности неограниченной загрузки файлов, валидация загружаемых файлов, установка средств защиты конечных точек, проверка и очистка вводимых данных на веб-страницах, усиленная аутентификация и контроль доступа, регулярное обновление системы и приложений, а также корректная настройка средств защиты. Запросы для поиска в логах процессов, которые потенциально могли быть частью атаки выглядели так:
В данном инциденте, киберпреступники использовали уязвимости веб-приложения для загрузки и запуска веб-шелла, с помощью которого они расширили свое присутствие в системе, скачали дополнительные вредоносы, и в конечном итоге украли ценные данные. Именно поэтому, для защиты от подобных атак важно соблюдать все рекомендации, и использовать для анализа угроз возможности Trend Micro Threat Insights. Данный инцидент подчеркивает важность постоянного мониторинга, оперативного реагирования и применения комплексных мер безопасности для защиты от сложных кибератак.
Изображение носит иллюстративный характер
Началось все с того, что система мониторинга Trend Micro™ Managed XDR зафиксировала подозрительную активность процесса
w3wp.exe, принадлежащего веб-серверу Internet Information Services (IIS). В ходе расследования выяснилось, что злоумышленники воспользовались уязвимостью сервера, позволяющей загружать файлы без ограничений, и внедрили веб-шелл. Изначально, веб-шелл был создан в другом каталоге, но не использовался. Проанализировав логи веб-сервера, удалось выявить POST-запросы, предшествовавшие созданию веб-шелла, на адреса //batchupload.aspx и //email_settings.aspx, которые вероятно и были точкой входа в систему. Веб-шелл, расположенный по пути
E:\azure\azureapps\test.\ebiller\Email_templates\cmd.aspx, стал плацдармом для дальнейших действий. С его помощью злоумышленники запускали на сервере cmd.exe и powershell.exe. Они использовали такие команды как whoami, tasklist, systeminfo и type для сбора информации о системе. Для заметания следов, файл cmd.aspx был переименован в a.aspx. Затем, для установления постоянного канала управления, хакеры запустили закодированную PowerShell команду, которая создала обратный TCP-шелл, подключенный к внешнему IP-адресу 86.48.10[.]109. После этого на сервер был загружен целый арсенал вредоносных инструментов, а именно:
0x02.exe, rev.bat, AnyDesk.exe и n.exe, размещённые в директории C:\Users\Public\. Причем, программа удаленного доступа AnyDesk была установлена и настроена для автоматического запуска вместе с Windows с параметром "C:\users\public\AnyDesk.exe" --install --start-with-win. Собрав всю необходимую информацию и закрепившись в системе, злоумышленники приступили к сбору и краже данных. Используя утилиту 7zip, они запаковали рабочий каталог сервера в архив
_x89z7a.zip и отправили его на свой сервер через GET запрос GET /_x89z7a.zip. Чтобы скрыть свои следы, архив _x89z7a.zip был удален командой del /f _x89z7a.zip. Помимо этого архива, злоумышленники также загрузили с сервера различные файлы, включая zip архивы, а также файлы с платежной и транзакционной информацией. Технический анализ обнаруженных веб-шеллов выявил различные методы их работы.
cmd.aspx и cmd2.aspx выполняли произвольные команды через параметр Request.Form["command"]. 0514_Bills_Payment_Intraday_001102019_114424.aspx и 0514_Bills_Payment_Intraday_01012019_054034.aspx, также позволяли выполнять произвольный код с помощью PowerShell. 0514_Bills_Payment_Intraday_01012019_054034.aspx предоставлял интерфейс для управления файлами и их загрузки. cmd.asp позволял выполнять команды в формате ?cmd=<command>. hello.aspx содержал строку "hello", up.aspx и up.html предоставляли возможность загрузки произвольных файлов через FileUploadControl.SaveAs() и не имели никакой проверки, что позволяло злоумышленникам перезаписывать или создавать файлы в произвольном месте. Вредоносный файл
0x02.exe, по данным исследования, использовал в своих отладочных логах филиппинский и англо-филиппинский языки, что могло быть попыткой скрыть истинного автора атаки. Его функционал заключался в выполнении произвольного кода через RPC и именованные каналы, а также в повышении привилегий путем подмены доступа и манипуляции с дескрипторами безопасности. Он требовал библиотеки VC runtime DLLs и аргументы: -c, -d, -i, -h для работы. Для пресечения атаки, были приняты следующие меры: изолирование сервера от сети, сбор вредоносных файлов для анализа и анализ дополнительных логов. В качестве рекомендаций по предотвращению подобных атак были предложены следующие меры: отключение возможности неограниченной загрузки файлов, валидация загружаемых файлов, установка средств защиты конечных точек, проверка и очистка вводимых данных на веб-страницах, усиленная аутентификация и контроль доступа, регулярное обновление системы и приложений, а также корректная настройка средств защиты. Запросы для поиска в логах процессов, которые потенциально могли быть частью атаки выглядели так:
((processFilePath:w3wp.exe AND objectFilePath:(cmd.exe OR powershell.exe)) OR parentFilePath:w3wp.exe AND processFilePath:(cmd.exe OR powershell.exe)) AND eventSubId: 2 AND NOT objectFilePath:(conhost.exe). В данном инциденте, киберпреступники использовали уязвимости веб-приложения для загрузки и запуска веб-шелла, с помощью которого они расширили свое присутствие в системе, скачали дополнительные вредоносы, и в конечном итоге украли ценные данные. Именно поэтому, для защиты от подобных атак важно соблюдать все рекомендации, и использовать для анализа угроз возможности Trend Micro Threat Insights. Данный инцидент подчеркивает важность постоянного мониторинга, оперативного реагирования и применения комплексных мер безопасности для защиты от сложных кибератак.
