Trend Micro? Managed XDR 團隊最近研究出了一種方法，成功防御了一種隱蔽的多層攻擊行為，該攻擊從被利用的終端漏洞逐漸發展為使用合法的遠程訪問工具（包括遠程桌面協議 (RDP) ）作為其最終攻擊手段。

那攻擊者是如何發起隱蔽的多層攻擊的呢？首先利用終端漏洞作為橫向移動的路徑。從通過 ProxyShell 漏洞在受感染的云服務器中安裝 web shell方法開始，此攻擊行為一直發展到使用合法的遠程訪問工具，包括遠程桌面協議 (RDP) 作為其最終攻擊手段。

研究人員首先在產品隔離的終端中看到了惡意軟件，雖然傳統的終端保護平臺 (EPP) 將在此階段停止檢測，但 MDR 將檢測的背景考慮在內。檢測出了是一個標識為 Possible_SMWEBSHELLYXBH5A 的 Web Shell 惡意軟件，該惡意軟件位于 Microsoft Exchange 服務器上。這表明服務器很可能因一個漏洞而受到破壞。在本例中，該漏洞最可能涉及三個ProxyShell漏洞：CVE-2021-31207、CVE-2021-34473 和 CVE-2021-34523。這促使研究團隊激活事件響應模式并提醒他們的用戶。

遠程控制的第一層：web shell

經過進一步審查，研究人員檢測到了多個可疑的 Web shell 文件，這些文件可以為攻擊者提供一種從服務器遠程控制終端的方法。

事件的初始日志

Trend Micro Vision One? 實現的漸進式根本原因分析 (PRCA) 使研究人員能夠將 Web shell 文件的創建追溯到合法的 Exchange 軟件二進制文件 MSExchangeMailboxReplication.exe。

web shell 文件的檢測

TightVNC可以合法使用，文件位置的上下文是一個Exchange服務器，研究人員發現，惡意攻擊者確實使用了ProxyShell漏洞。

第二層遠程控制：使用合法工具TightVNC

MDR在終端中找到合法的遠程訪問工具TightVNC。而這個應用程序通常不會在這個上下文中找到。客戶確認 TightVNC 不會成為環境的一部分，因此研究人員要求客戶將其卸載。

隨著文件通過另一層遠程控制重新安裝，隨后對 PRCA 的監控和使用使研究人員能夠追蹤 TightVNC 的重新出現。

第三層遠程控制：后門PowerShell腳本

PowerShell 腳本的檢測

惡意攻擊者并沒有因此而退縮，創建并執行了一個 PowerShell 腳本，研究人員觀察到該腳本為 C:\Windows\System32\AppLocker\winServicePrinter.ps1（檢測為 Backdoor.PS1.REVSHELL.AB），這是一個逆向 shell。其執行的例程包括以下內容：重新安裝和執行 TightVNC。

Ngrok 的下載和執行，研究人員的報告題為“分析一個涉及Ngrok的復雜攻擊鏈”提供了一個全面的討論。

Ngrok 的檢測

進一步調查顯示，Ngrok 使用的 auth_token 來自電子郵件地址 excizewn[@]gmail[.]com。這很可能是一個可以根據需要被刪除的虛擬帳戶。

Ngrok被用來通過Ngrok服務器向互聯網開放端口3389和443。這將研究人員帶到了第四層也是最后一層遠程控制。

第四層遠程控制：RDP

最后，惡意攻擊者使用了 RDP，這是一種內置于 Microsoft Windows 中的合法遠程控制工具。RDP 提供了一個接口，允許最終用戶通過網絡連接連接到另一臺計算機。長期以來，RDP 一直被攻擊者濫用來竊取數據作為攻擊的一部分，以竊取可以在地下出售的信息，從而使黑客能夠將被劫持的系統集成到網絡中以進行更嚴重的攻擊。

隨著許多組織采用遠程工作連接支持的混合工作模式，RDP 的使用變得更加普遍，這導致許多 IT 團隊將 RDP 流量視為正常且無害的。然而，這種可能的誤解使 RDP 成為試圖躲避檢測的攻擊者的攻擊媒介。除非人們密切關注監測數據，否則安全團隊很有可能掩蓋這一事件，因為它可以被解釋為連接到同一系統的兩個用戶之間的普通交互。

趨勢科技 MDR 監測包括解決方案跨所有安全層收集的數據，包括但不限于電子郵件、終端、服務器、云工作負載和網絡。MDR 平臺從每個安全層收集各種監測數據，以檢測未知威脅并促進根本原因分析。

在最后一層，RDP確實被使用的唯一證據是下面的監測部分。

MDR 監測

注意rdpclip進程在轉儲lsass.exe之前在設備上執行的實例。RDP Clip 是一個合法的 Windows 文件，用于監控和管理本地計算機和用戶從另一個位置控制的遠程桌面之間的共享剪貼板。此終端的目標是憑證轉儲，以橫向移動為目的。

從 LSASS 進程內存中轉儲憑證

幸運的是，研究人員能夠從通過云服務器觀察到最初攻擊的那一刻起，為客戶提供及時的警報和干預，直到在清理和補救過程中提供指導。

此類事件為安全團隊提供了從不同角度以全局方式查看攻擊的機會。研究人員在下面討論組織在采用主動網絡安全方法以確保對其系統進行最大保護時可以考慮的關鍵見解。

MDR 檢測了許多 Possible_Webshell 檢測。檢測到的文件的名稱是隨機的，它們被放置在通常在 Internet 信息服務 (IIS) 實例中找到服務器腳本的目錄中。由 Microsoft 創建，IIS 是一種可與 Windows NT 系列一起使用的可擴展 Web 服務器軟件。這會非常有趣，因為首先它看起來不像是一個測試，其次，檢測到的帶有隨機名稱的大量文件可能意味著有一個攻擊者試圖在服務器上放置一些 web shell。后來，研究人員注意到 web shell 活動表明攻擊者成功地植入了至少一個他們能夠訪問的 web shell。

TightVNC 和 Ngrok 都是合法的應用程序，已被攻擊者濫用以達到惡意目的。僅依靠 EPP 檢測可能會削弱安全團隊將此類濫用工具的存在視為嚴重攻擊的危險信號的能力。MDR 跨多個安全層自動收集和關聯數據，從而顯著提高威脅檢測、調查和響應的速度。在這種情況下，MDR 的集成方法提供了幫助安全分析師關聯事件鏈以進行準確威脅評估和適當響應的上下文。

從攻擊者的角度來看，面向外部的易受攻擊的服務器為他們提供了進入環境的路徑。為了鞏固立足點并實現目標，他們使用 TightVNC 和 Ngrok 作為遠程控制終端的手段。在這個階段，他們有 web shell 感染的服務器、一個普通的遠程工具（EPP 無法檢測到）和一個隧道應用程序，EPP 也無法檢測到。

總結

組織可以從這次事件中吸取很多教訓。一是組織不能僅依靠 EPP 來阻止持續存在的威脅，因為它無法提供早期檢測、調查和響應。本文所講的一系列攻擊都是使用隱秘手段攻擊系統，包括跨多個安全層的看似無害的工具。攻擊的復雜性使安全團隊和威脅研究人員在分析事件鏈并對當前的威脅場景有一個清晰的上下文理解方面面臨著額外的挑戰。

另一個關鍵的教訓是，即使是最良性的工具，如RDP，也可能成為一個威脅載體，因為惡意攻擊者總是試圖通過這些良性工具發起攻擊。