資安公司 ReliaQuest 揭露威脅組織
OP-512,其針對 Microsoft Internet Information Services(IIS)網頁伺服器部署客製化 Web Shell 框架,並以中度至高度信心評估此活動與中國有關聯。
攻擊手法:客製化框架搭配反鑑識技術
OP-512 的核心工具為一套由三個 Web Shell 組成的客製化框架,賦予攻擊者對受害主機的遠端存取能力。該框架具備幾項在同類工具中少見的特性:每次部署均會生成唯一實例、透過加密控制限制只有攻擊者能夠存取,且受感染的伺服器會自動回報至集中管理端,支援大規模操作。
為干擾鑑識調查,OP-512 採用時間戳竄改(timestomping)技術,掃描 Web Shell 所在目錄的所有檔案與子資料夾,計算其最後修改時間戳的中位數,再將 Web Shell 自身的建立與修改時間覆寫為該數值,製造出這些檔案早已存在一段時間的假象。
ReliaQuest 在觀察到的攻擊案例中,發現目標為一台運行 Windows Server 2016、搭載已終止支援的 .NET Framework 4.0 的老舊 IIS 伺服器。在主要事件發生前約 75 天,同一主機上已出現先期活動的跡象,涉及對另一個攻擊者控制網域的 DNS 查詢。
數週後的主要攻擊就像一場「衝刺」:攻擊者利用網頁伺服器的工作處理程序 w3wp.exe,將其中一個 Web Shell 投放至應用程式的上傳目錄,隨即觸發自我回報機制,透過 DNS 查詢或 HTTP 請求將 Web Shell 位置回傳至攻擊者控制的網域。三個 Web Shell 合力提供了檔案管理、兩條獨立的已驗證指令執行路徑,以及入侵自動回報功能。完成部署後,OP-512 嘗試使用 Potato Suite 工具組將權限提升至 SYSTEM 層級,並執行 whoami /priv 指令確認系統權限。
IIS 伺服器成中國連結組織的持續攻擊目標
ReliaQuest 指出,OP-512 是過去十二個月內第四個鎖定 IIS 網頁伺服器的中國連結威脅組織,前三者分別為
CL-STA-0048、
DragonRank 與
GhostRedirector。上個月,Cisco Talos 也揭露多個中文語系網路犯罪組織共用一種名為 BadIIS 的惡意軟體變種,同樣用於感染 IIS 伺服器。另一個中國連結組織 SHADOW-EARTH-053 則以 IIS 伺服器為入侵管道,針對南亞、東亞與東南亞的政府及國防部門發動間諜攻擊活動。
延伸閱讀:中國支持的新APT組織GhostRedirector,入侵全球Windows伺服器
OP-512 在戰術上與 CL-STA-0048 高度相近,ReliaQuest 研判兩者可能存在關聯,但也不排除 OP-512 是獨立開發出相似能力的不同組織。目前該組織被認定為自主運作的獨立威脅叢集。
ReliaQuest 強調,四個中國連結組織在不到一年內針對同一技術發動攻擊,不太可能只是巧合。對防禦方而言更值得關注的是 OP-512 的差異性:
這個威脅叢集並非使用通用工具在不同攻擊活動中反覆套用,而是採用專門設計的框架,刻意繞過對其他三個組織有效的偵測方法。已針對已知威脅行為者調整防禦設定的組織,對 OP-512 可能並不具備足夠的防護覆蓋。
本文轉載自 TheHackerNews。