Praying Mantis 威脅組織針對美國公司進行復雜的攻擊
在過去的一年里,一個復雜的、可能是政府資助的威脅行為者一直在利用面向公眾的 ASP.NET 應用程序中的反序列化缺陷來部署無文件惡意軟件,從而危害主要的公共和私人組織。該黑客組織被事件響應公司 Sygnia 的研究人員稱為 Praying Mantis 或 TG1021,通過使用專為 Internet 信息服務 (IIS) Web 服務器構建的易失性和自定義惡意軟件工具集執行憑據收集、偵察,將重點放在檢測規避上和橫向運動。
Sygnia 研究人員在一份詳細報告中說:“活動的性質和一般的作案手法表明 TG1021 是一位經驗豐富的隱身演員,高度了解OPSEC(運營安全)。” “TG1021 使用的惡意軟件通過主動干擾日志記錄機制、成功規避商業 EDR 以及靜默等待傳入連接,而不是連接回 C2 通道并持續產生流量,顯示了避免檢測的重大努力。此外,威脅演員在使用它們后主動刪除了所有磁盤駐留工具,有效地放棄了持久性以換取隱身。”
新舊反序列化漏洞利用
在編程中,序列化是將數據轉換為字節流的過程,通常通過網絡傳輸。反序列化是該過程的逆轉,就像軟件中的大多數數據解析操作一樣,如果用戶控制輸入,它可能成為漏洞的來源。不安全的反序列化缺陷多年來一直困擾著 Java 應用程序,但 Java 并不是唯一一種反序列化常見的編程語言。
Praying Mantis 利用的漏洞針對 ASP.NET 中的反序列化實現,ASP.NET 是一種用于開發托管在 Windows IIS Web 服務器上的 Web 應用程序的開源框架。ASP.NET 有一種稱為 VIEWSTATE 的機制,框架使用它來存儲在 POST 請求期間發送到客戶端時網頁的狀態和控件。它存儲為名為 _VIEWSTATE 的隱藏輸入字段。當客戶端執行 POST 操作并將頁面發送回服務器時,VIEWSTATE 被反序列化和驗證。ASP.NET 提供了一些安全性和完整性檢查機制來確保序列化數據有效,但它們的正確使用歸結為開發人員實現。
有人看到 Praying Mantis 利用了一個名為 Checkbox 的 ASP.NET 應用程序中的不安全反序列化導致的遠程代碼執行 (RCE) 漏洞,該應用程序允許網站所有者實施用戶調查。在該組織發起攻擊時,該漏洞處于零日狀態,并影響了使用 VIEWSTATE 功能自定義實現的 Checkbox 版本 6 及更早版本。盡管 Checkbox 版本 7 自 2019 年開始可用且不受影響,但對 Checkbox 版本 6 的官方支持直到 7 月 1 日才結束。
“在 7.0 版之前,Checkbox Survey 通過接受一個 _VSTATE 參數來實現自己的 VIEWSTATE 功能,然后它使用 LosFormatter 反序列化,”CERT/CC 的分析師在 5 月份的一份咨詢中說。“由于這些數據是由 Checkbox Survey 代碼手動處理的,因此服務器上的 ASP.NET VIEWSTATE 消息身份驗證代碼 (MAC) 設置被忽略。沒有 MAC,攻擊者可以創建將被反序列化的任意數據,從而導致任意代碼執行.”
Praying Mantis 似乎對一般的反序列化缺陷有很好的理解,以多種方式利用該機制進行橫向移動和持久化。例如,即使新版本的 ASP.NET 支持 VIEWSTATE 完整性檢查和加密,如果加密和驗證密鑰被盜或泄露,它們也可用于重新感染服務器或感染同一集群中托管同一應用程序的其他服務器因為密鑰是共享的。
“在 Sygnia 的一項調查中,TG1021 利用被盜的解密和驗證密鑰來利用 IIS Web 服務器,”研究人員說。“VIEWSTATE 反序列化漏洞利用的流程幾乎與上面解釋的 VSTATE 漏洞相同,只是調整了對 VIEWSTATE 數據進行加密和簽名,而不是對其進行壓縮。”
該小組還利用了依賴于序列化的會話存儲機制。ASP.NET 允許應用程序將用戶會話作為序列化對象存儲在 MSSQL 數據庫中,然后為它們分配唯一的 cookie。當用戶的瀏覽器再次訪問應用程序并保存了這些 cookie 之一時,應用程序將從數據庫中加載相應的會話對象并將其反序列化。
攻擊者利用此功能進行橫向移動,方法是使用對先前漏洞之一破壞的 IIS Web 服務器的訪問權限,以生成惡意會話對象和關聯的 cookie,并將其存儲在 Microsoft SQL 數據庫中。然后,他們將請求發送到屬于同一基礎結構并使用同一數據庫的其他 IIS 服務器,并在請求中包含惡意 cookie。這迫使在這些服務器上運行的應用程序實例從數據庫加載惡意制作的會話對象并將其反序列化,從而導致 RCE。
還觀察到 Praying Mantis 利用其他應用程序中的反序列化漏洞,例如 CVE-2019-18935,這是一個 RCE 缺陷,源于 JSON 解析中的不安全反序列化,并影響名為 Telerik UI for ASP.NET AJAX 的產品。Telerik 是一套廣泛用于 Web 應用程序的用戶界面組件。該組織還使用了一個針對影響 Telerik 的較舊的任意文件上傳漏洞 (CVE-2017-11317) 的漏洞。
為 IIS 量身定制的惡意軟件框架
黑客利用這些 RCE 漏洞反射性地將惡意 DLL 加載到易受攻擊的 Web 服務器的內存中。然后,這個 DLL 反射性地加載了一個惡意軟件組件,研究人員將其稱為 NodeIISWeb 到 w3wp.exe 進程中。這是 IIS 工作進程,用于處理發送到已配置 IIS 應用程序池的 IIS Web 服務器的 Web 請求。
反射加載是一種將惡意 DLL 注入現有進程并掛鉤其功能的技術。這種技術的好處是某些 Windows 機制(例如在運行時將 DLL 注冊為模塊)被繞過,并且文件實際上并未寫入磁盤。缺點是感染缺乏持久性。由于流氓 DLL 僅存在于 RAM 中,因此如果重新啟動其父進程,它將消失。由于生產網絡服務器的正常運行時間很長,因此隱藏妥協是一種有效的技術。
除了反射 DLL 加載器,Praying Mantis 有時還使用 web shell 來加載 NodeIISWeb。當該組織利用 CVE-2017-11317 等文件上傳漏洞而不是基于反序列化的遠程代碼執行漏洞時,這種情況更為常見,因為 web shell 本質上是上傳到服務器文件系統的惡意 web 腳本/應用程序,可通過 HTTP 遠程訪問。Praying Mantis 的 web shell 通常是短暫的,在部署 NodeIISWeb 后,該組織會刪除它們。
NodeIISWeb 惡意軟件與 IIS 輸入驗證功能掛鉤,可以讀取所有傳入服務器的 HTTP 流量。這為攻擊者提供了一種控制惡意軟件的方法,通過向服務器發送帶有惡意軟件程序期望和監視的某些 cookie 名稱和值的精心設計的請求。由于攻擊者可以通過這種 HTTP 機制發送指令,因此 NodeIISWeb 不會生成到可能被流量監控解決方案檢測到的命令和控制服務器的傳出連接。
也就是說,惡意軟件程序為 TCP、HTTP 和 SQL 實現了多種流量轉發方法,使其能夠作為代理或命令和控制通道本身,用于運行在同一網絡內受感染服務器上的其他惡意軟件實例,這些實例可能不是直接暴露在互聯網上。它還可以執行 JScript 負載并加載擴展其功能的其他 DLL 模塊。
NodeIISWeb 通常用于部署另一個名為 ExtDLL.dll 的自定義 Windows 后門,該后門可用于操作文件和目錄、收集系統信息、加載和執行 DLL 并實施各種攻擊技術,例如代碼注入和令牌操作。該組件還掛鉤并操縱系統上存在的各種安全功能以隱藏其活動,包括 AV 掃描功能、事件日志報告功能、.NET 代碼信任檢查和 PowerShell 相關的注冊表項。
NodeIISWeb 和 ExtDLL.dll 加載的附加 DLL 模塊之一稱為 PSRunner.dll,它允許在主機上運行 PowerShell 腳本,而無需生成 PowerShell 進程。另一個稱為 Forward.dll 并實現 HTTP 流量轉發功能。PotatoEx.dll 是權限提升工具和 Active Directory 映射工具,E.dll 是生成自定義 HTTP 響應的組件,允許攻擊者驗證漏洞是否已在目標 IIS 服務器上成功執行。
Praying Mantis 利用其對受感染 IIS 服務器的訪問權限來修改現有應用程序的登錄頁面,以捕獲用戶憑據并將其保存在單獨的文件中,并部署公開可用的攻擊性安全工具,包括直接加載到內存中而不留下痕跡的 SharpHound 和 PowerSploit盤。該組織還被發現使用泄露的域憑據通過 SMB 訪問內部服務器上的共享文件夾。
螳螂檢測與預防
由于其內存駐留惡意軟件的易失性以及該組織對操作安全的關注,因此檢測 Praying Mantis 的活動并不容易。Sygnia 研究人員建議修補 .NET 反序列化漏洞,搜索報告中發布的危害指標,使用旨在檢測該組織工具的 YARA 規則掃描面向 Internet 的 IIS 服務器,并積極尋找 IIS 環境中的可疑活動。
驗證 ASP.NET VIEWSTATE 的使用或相同機制的自定義實現(例如 Checkbox Survey 中的壓縮 VSTATE)對于保護 ASP.NET 應用程序免受 VIEWSTATE 反序列化缺陷至關重要。IIS 配置中的 enableViewStateMac 變量應設置為“True”,而 aspnet:AllowInsecureDeserialization 變量應設置為“False”。注冊表項 AspNetEnforceViewStateMac 應設置為“1”,并應小心處理加密和驗證鍵。服務器應使用自動生成的密鑰或 IIS 服務器上的機器密鑰應定期輪換,以減少因密鑰被盜或泄露而被濫用的可能性。
“如果您的 Web 應用程序使用 ASP.NET 會話狀態,請確保只能從合法的網絡位置訪問數據庫,”研究人員說。“盡可能在不同的 IIS 服務器/Web 應用程序之間分離會話狀態 MSSQL 數據庫,或者使用適當的最小 CRUD 權限創建不同的 SQL 用戶。確保您的 .NET Web 應用程序以指定的應用程序池標識運行,并具有盡可能低的權限。這會為 TG1021 制造額外的障礙。”
除了 Sygnia 論文之外,澳大利亞政府網絡安全中心 (ACSC) 去年發布了一份咨詢報告,其中包含與 Sygnia 觀察到的 Praying Mantis 活動部分重疊的妥協和攻擊技術指標。發布該公告是為了回應當時 ACSC 所說的“一個老練的國家行為者持續針對澳大利亞政府和公司的行為”,這是“澳大利亞政府所觀察到的針對澳大利亞機構的最重要、最協調的網絡攻擊”。
