我叫王阿明 今天是我来安识的第432天,在今天前我共完成了158次大大小小的安全应急,本以为凭借着我这满世经纬之才,心中宏阔安全架构雄图,小小的应急响应对我这老司机来说毫无压力。
但1个小时后我的脸色特别难看,抓不住任何线索的迷茫才让人神伤,若今天解决不了客户网站被篡改的问题,说不定分分钟被老板扫地出门。不说了不说了,客户在等着我尽快恢复业务,老板说了应急响应最重要的是沟通,其次是技术,再次是交付。
一、先谈谈攻击者留下来的症状(这也是客户满眼期待要求消弭的):
只要从搜索引擎来的User-Agent,服务器全量网站的顶部都会加载如上网站链接,看起来都是正常网站名称,实际跳转的链接都是**暗链,这手法似乎是深谙蜘蛛和SEO之道。
诸如此类:
1 GET /appRQs8X/859/840240/ HTTP/1.1 2 Host: www.xxxxxxx.com
会产生大量的app
、poc
、hot
等关键字开头的url,点击过去就令人肾上腺素激增,“性感荷官、在线发牌”,莫不是骗我的吧。
二、排查之路从此一发不可收拾:
西边的太阳就要落山了、攻击者的末日就要来到
弹起我心爱的土琵琶、唱起那动人的歌谣
哎嗨 安上我心爱的安识主机安全套装
轻轻松松,分分钟Webshell都已经被识别,在凭借我王阿明饱满的自信核实确认后,手工隔离的刹那感觉这个case离完结不远了:
稳稳地看一眼用户信息和事件,阿波罗主机安全未告警异常后门账号事件,小王我也安心了,跟客户再次确认了一下其他账号都属于正常账号(老板说过的沟通是第一位)。
服务、进程、计划任务、木马杀毒挨个排查一遍都未发现明显异常。
客户这32G内存瞬间体现了尊贵,于是他在上面安装了4个安全杀毒软件似乎也很合理,互相不打架就好,挨个扫描,未发现服务器上有恶意文件。
是时候解决症状问题了,在服务器上打开URL Snooper监测服务器对外URL请求:
发现大量恶意请求地址,主要包含但不限于:
1 2382333.com 2 103.246.114.106 3 03751.net/ccc.js 4 www.262690.com 5 www.52xxt.net 6 www.raxxoo.net 7 www.hlxxwx.com 8 www.spxxxl.com.cn 9 www.dxxxashuo.com
其中http://03751.net/ccc.js 文件内容明显就是**跳转JS
但是这个请求是哪里下发的呢,纵然为老司机,也百思不得其解。
Wireshark抓包后发现大量cs.whtjz.com站点的请求,毫不意外同时指向IIS的进程w3wp:
域名解析的IP正是103.246.114.106,跟URL Snooper的IP大量请求遥呼相应。
那还等什么,手起刀落,全局web文件扫描(含动静态文件,log等)关键字:2382333、whtjz、262690、03751.net、103.246.114.106,只在log里面发现了随机字符串,未在源码和配置中发现,似乎该排查的都排查了,到了这里排查思路再难前进。
三、问题难解,安识前人经验来帮忙:
看来事情不简单,那只好按照安识科技内部文档<IIS网站篡改排查步骤和案例精华>一个个核实:
1. 检查Global.asax /Global.asa文件是否被篡改,攻击者有可能设定该文件隐藏属性来逃避检测。
文件正常
2. 代码文件、JS文件等被篡改。
文件正常
3. IIS URL恶意重写
未发现
4. 检查配置文件C:WindowsSystem32inetsrvconfigapplicationHost.config
根据与正常的applicationHost.config文件进行diff对比,由于IIS知识熟悉度问题,未发现明显异常配置。
由于网站场景不一样,配置加载的dll不尽一样,未做深疑。
5、配置文件:C:WINDOWSsystem32inetsrvMetaBase.xml,未发现明显异常。
6. Dll文件注入,关注事件发生的节点与新dll文件的时间点,关注dll文件所属公司,关注3中配置是否加载对应可疑dll。
目前情况很明显了,IIS服务器下面十几个网站全都被篡改了,但是每个网站下面代码和web.config和global配置都正常,那么基本断定是IIS总体配置被篡改或者被注入恶意Dll文件。
对C:WindowsSystem32inetsrv目录下配置和文件进行排查,对应2019-07-23事发时间点FilterSecurity64.dll比较可疑:
上传在线杀毒网看看是啥,发现2019-05月份就有人同样好奇过 233333
49个杀毒引擎无一例外,都默默告知这是安全文件,而且FilterSecurity,名字起的很正义,我也只好忍了。但是这个文件时间让小王我有点怀疑,心里的小本子隐隐记下了这个dll。
也尝试过把dll删除,然后服务器500了,只好紧急暂行恢复了观察,客户业务可是第一位呀,不容得一丝马虎。
1个小时过去,跟客户同步完排查进展,客户“满怀期待”的追问网站篡改解决了没?
时间过的真快,9月末微凉的天气飘着淡淡的桂花香气,小王我愁的额头快有了汗珠。
没办法,那就把IIS重装吧,跟客户沟通同意后,上面那么多客户网站一个个配到天黑,安全人员果然不容易,渗透的了站,应急的了入侵,运维的了IIS,安抚的了客户。
在差不多解决了类似如下10多个IIS报错难题后,IIS全web站点都正常运行了,**现象也没有了。
这个时候抓紧把正常配置的IIS和恶意的IIS配置进行diff对比
发现就是下面4个恶意DLL文件作祟,可害苦了我
1.<add name="FilterSecurity32" image="%windir%System32inetsrvFilterSecurity32.dll" preCondition="bitness32" /> 2.
<add name="FilterSecurity64" image="%windir%System32inetsrvFilterSecurity64.dll" preCondition="bitness64" />
3.
<add name="ScriptModule-2.0" image="%windir%Microsoft.NETFrameworkv2.0.50727mscorevt.dll" preCondition="bitness32" />
4.
<add name="IsapiCacheModule" image="%windir%Microsoft.NETFramework64v2.0.50727mscorevt.dll" preCondition="bitness64" />
5.<add name="FilterSecurity32" preCondition="bitness32" />
6.
<add name="FilterSecurity64" preCondition="bitness64" />
7.<add name="ScriptModule-2.0" preCondition="bitness32" />
8.
<add name="IsapiCacheModule" preCondition="bitness64" />
而mscorevt.dll文件藏在%windir%Microsoft.NETFramework64v2.0.50727这么专业的路径下面,做了替换,以假乱真,还真不好一眼认定是恶意的。
通过virustotal扫描发现确实恶意文件,32bit的mscorevt.dll被Avira定义为:TR/AD.CoinMiner.hmjwc
64bit的mscorevt.dll如下,也是只有唯一一个厂商标志了可疑,看起来还算新鲜:
四、事件定性和证据链对应:
跟产品团队核查当时的进程日志,恰好对应上攻击者操作(利用appcmd命令安装恶意dll模块),只能说拥有数据才能站在上帝视角啊:
攻击者抓取了管理员的密码。
让公司逆向小伙伴帮忙看下FilterSecurity64.dll,这神奇的猫腻提示语句毫不犹豫的提示它是个HTTP的远控,含有文件上传下载模块:
也有相关文件操作,一切落定,这下我“小王”荣升“小王师傅”,给IIS网站篡改排查指出一条可行明路。
定性:攻击者通过获取webshell后,通过命令将恶意的dll文件引入IIS配置,从而引发IIS一直请求恶意的链接,导致网站挂上搜索引擎的UA就出现**链接。
虽然攻击者入侵点没有特别技巧,但是dll文件的免杀了国内多数杀软以及webshell绕过了D盾给排查造成了一定困难,再者这种IIS篡改配置和dll,也是最近几个月才遇到,网上也没有先文可以参考。
从后期的日志排查来看,攻击者团队使用Telegram交流,且群内布置Bot,估计是为了告警,团伙作案明显。
1 2019-09-18 14:53:17 xx.xx.x8.2xx 2 GET /xxxx/xxxxxxx/4399.aspx - 80 - 149.154.161.6 3 TelegramBot+(like+TwitterBot) 200 0 0 328
从近几个月类似的IIS被篡改案例的操作和IOCs可以断定是同一波人。
攻击者代理:
1 47.107.1xx.240 2 106.53.xxx.188 3 120.24.xxx.74 4 121.54.xxx.39 5 114.199.xx.72
MD5:
FilterSecurity32.dll |
371cd2a75c9c621117678ffd20ce0a12 |
FilterSecurity64.dll |
80887b65317f2d45761c1c2b96970e0c |
mscorevt.dll-32 |
e60d67348609c11157d5fce3f591b694 |
mscorevt.dll_64 |
24ef2ae90c722cebab029de9ffec0bd6 |
万万没想到,我还是没辜负老板对我的信任,客户对我的期待。
寥落尘寰数十载 何曾开眼论英豪
刀光起处鲸吞海 誓将浮名敬死生
祝福我们伟大的祖国70周年庆典,致敬值守在客户现场的安识兄弟们,致敬全体抗战在一线的安全工作者们,唯有我们的一点一滴守护才能达成一个渐近安全纯净的互联网世界。
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/113500.html
666,学习了!!