万万没想到,我还是没辜负客户的期待

2019-09-29 12,471


    我叫王阿明 今天是我来安识的第432天,在今天前我共完成了158次大大小小的安全应急,本以为凭借着我这满世经纬之才,心中宏阔安全架构雄图,小小的应急响应对我这老司机来说毫无压力。


    但1个小时后我的脸色特别难看,抓不住任何线索的迷茫才让人神伤,若今天解决不了客户网站被篡改的问题,说不定分分钟被老板扫地出门。不说了不说了,客户在等着我尽快恢复业务,老板说了应急响应最重要的是沟通,其次是技术,再次是交付。



 

一、先谈谈攻击者留下来的症状(这也是客户满眼期待要求消弭的):


只要从搜索引擎来的User-Agent,服务器全量网站的顶部都会加载如上网站链接,看起来都是正常网站名称,实际跳转的链接都是**暗链,这手法似乎是深谙蜘蛛和SEO之道。

诸如此类:

1   GET /appRQs8X/859/840240/ HTTP/1.1
2   Host: www.xxxxxxx.com

会产生大量的apppochot等关键字开头的url,点击过去就令人肾上腺素激增,“性感荷官、在线发牌”,莫不是骗我的吧。



二、排查之路从此一发不可收拾:


西边的太阳就要落山了、攻击者的末日就要来到

弹起我心爱的土琵琶、唱起那动人的歌谣

哎嗨 安上我心爱的安识主机安全套装


轻轻松松,分分钟Webshell都已经被识别,在凭借我王阿明饱满的自信核实确认后,手工隔离的刹那感觉这个case离完结不远了:

稳稳地看一眼用户信息和事件,阿波罗主机安全未告警异常后门账号事件,小王我也安心了,跟客户再次确认了一下其他账号都属于正常账号(老板说过的沟通是第一位)。


服务、进程、计划任务、木马杀毒挨个排查一遍都未发现明显异常。


客户这32G内存瞬间体现了尊贵,于是他在上面安装了4个安全杀毒软件似乎也很合理,互相不打架就好,挨个扫描,未发现服务器上有恶意文件。

是时候解决症状问题了,在服务器上打开URL Snooper监测服务器对外URL请求:


发现大量恶意请求地址,主要包含但不限于:

1   2382333.com
2   103.246.114.106
3   03751.net/ccc.js
4   www.262690.com
5   www.52xxt.net 
6   www.raxxoo.net 
7   www.hlxxwx.com
8   www.spxxxl.com.cn  
9   www.dxxxashuo.com

其中http://03751.net/ccc.js 文件内容明显就是**跳转JS


但是这个请求是哪里下发的呢,纵然为老司机,也百思不得其解。

 

Wireshark抓包后发现大量cs.whtjz.com站点的请求,毫不意外同时指向IIS的进程w3wp:


域名解析的IP正是103.246.114.106,跟URL Snooper的IP大量请求遥呼相应。

那还等什么,手起刀落,全局web文件扫描(含动静态文件,log等)关键字:2382333、whtjz、262690、03751.net、103.246.114.106,只在log里面发现了随机字符串,未在源码和配置中发现,似乎该排查的都排查了,到了这里排查思路再难前进。

 



三、问题难解,安识前人经验来帮忙:


看来事情不简单,那只好按照安识科技内部文档<IIS网站篡改排查步骤和案例精华>一个个核实:

 

1. 检查Global.asax /Global.asa文件是否被篡改,攻击者有可能设定该文件隐藏属性来逃避检测。

 

文件正常

 

2. 代码文件、JS文件等被篡改。

 

文件正常

 

3. IIS URL恶意重写

 

未发现

 

4. 检查配置文件C:WindowsSystem32inetsrvconfigapplicationHost.config 

 

根据与正常的applicationHost.config文件进行diff对比,由于IIS知识熟悉度问题,未发现明显异常配置。

由于网站场景不一样,配置加载的dll不尽一样,未做深疑。


        5、配置文件:C:WINDOWSsystem32inetsrvMetaBase.xml,未发现明显异常。


6. Dll文件注入,关注事件发生的节点与新dll文件的时间点,关注dll文件所属公司,关注3中配置是否加载对应可疑dll。

 

目前情况很明显了,IIS服务器下面十几个网站全都被篡改了,但是每个网站下面代码和web.config和global置都正常,那么基本断定是IIS总体配置被篡改或者被注入恶意Dll文件。


对C:WindowsSystem32inetsrv目录下配置和文件进行排查,对应2019-07-23事发时间点FilterSecurity64.dll比较可疑:



上传在线杀毒网看看是啥,发现2019-05月份就有人同样好奇过 233333



49个杀毒引擎无一例外,都默默告知这是安全文件,而且FilterSecurity,名字起的很正义,我也只好忍了。但是这个文件间让小王我有点怀疑,心里的小本子隐隐记下了这个dll。

 

也尝试过把dll删除,然后服务器500了,只好紧急暂行恢复了观察,客户业务可是第一位呀,不容得一丝马虎。

 

1个小时过去,跟客户同步完排查进展,客户“满怀期待”的追问网站篡改解决了没?


时间过的真快,9月末微凉的天气飘着淡淡的桂花香气,小王我愁的额头快有了汗珠。


没办法,那就把IIS重装吧,跟客户沟通同意后,上面那么多客户网站一个个配到天黑,安全人员果然不容易,渗透的了站,应急的了入侵,运维的了IIS,安抚的了客户。

 

在差不多解决了类似如下10多个IIS报错难题后,IIS全web站点都正常运行了,**现象也没有了。


这个时候抓紧把正常配置的IIS和恶意的IIS配置进行diff对比


发现就是下面4个恶意DLL文件作祟,可害苦了我

1.<add name="FilterSecurity32" image="%windir%System32inetsrvFilterSecurity32.dll" preCondition="bitness32" /> 2.<add name="FilterSecurity64" image="%windir%System32inetsrvFilterSecurity64.dll" preCondition="bitness64" />  
3.<add name="ScriptModule-2.0" image="%windir%Microsoft.NETFrameworkv2.0.50727mscorevt.dll" preCondition="bitness32" />
4.<add name="IsapiCacheModule" image="%windir%Microsoft.NETFramework64v2.0.50727mscorevt.dll" preCondition="bitness64" />
5.
<add name="FilterSecurity32" preCondition="bitness32" />  
6.<add name="FilterSecurity64" preCondition="bitness64" />
7.<add name="ScriptModule-2.0" preCondition="bitness32" />
8.<add name="IsapiCacheModule" preCondition="bitness64" />

而mscorevt.dll文件藏在%windir%Microsoft.NETFramework64v2.0.50727这么专业的路径下面,做了替换,以假乱真,还真不好一眼认定是恶意的。


通过virustotal扫描发现确实恶意文件,32bit的mscorevt.dll被Avira定义为:TR/AD.CoinMiner.hmjwc

64bit的mscorevt.dll如下,也是只有唯一一个厂商标志了可疑,看起来还算新鲜:




四、事件定性和证据链对应:

 

跟产品团队核查当时的进程日志,恰好对应上攻击者操作(利用appcmd命令安装恶意dll模块),只能说拥有数据才能站在上帝视角啊:

攻击者抓取了管理员的密码。

让公司逆向小伙伴帮忙看下FilterSecurity64.dll,这神奇的猫腻提示语句毫不犹豫的提示它是个HTTP的远控,含有文件上传下载模块:

也有相关文件操作,一切落定,这下我“小王”荣升“小王师傅”,给IIS网站篡改排查指出一条可行明路。

定性:攻击者通过获取webshell后,通过命令将恶意的dll文件引入IIS配置,从而引发IIS一直请求恶意的链接,导致网站挂上搜索引擎的UA就出现**链接。


虽然攻击者入侵点没有特别技巧,但是dll文件的免杀了国内多数杀软以及webshell绕过了D盾给排查造成了一定困难,再者这种IIS篡改配置和dll,也是最近几个月才遇到,网上也没有先文可以参考。


从后期的日志排查来看,攻击者团队使用Telegram交流,且群内布置Bot,估计是为了告警,团伙作案明显。

1   2019-09-18 14:53:17 xx.xx.x8.2xx 
2   GET /xxxx/xxxxxxx/4399.aspx - 80 - 149.154.161.6
3   TelegramBot+(like+TwitterBot) 200 0 0 328

从近几个月类似的IIS被篡改案例的操作和IOCs可以断定是同一波人。

攻击者代理:

1   47.107.1xx.240 
2   106.53.xxx.188
3   120.24.xxx.74
4   121.54.xxx.39
5   114.199.xx.72

MD5:

FilterSecurity32.dll

371cd2a75c9c621117678ffd20ce0a12

FilterSecurity64.dll

80887b65317f2d45761c1c2b96970e0c

mscorevt.dll-32

e60d67348609c11157d5fce3f591b694

mscorevt.dll_64

24ef2ae90c722cebab029de9ffec0bd6

 

万万没想到,我还是没辜负老板对我的信任,客户对我的期待。


寥落尘寰数十载  何曾开眼论英豪

刀光起处鲸吞海  誓将浮名敬死生


祝福我们伟大的祖国70周年庆典,致敬值守在客户现场的安识兄弟们,致敬全体抗战在一线的安全工作者们,唯有我们的一点一滴守护才能达成一个渐近安全纯净的互联网世界。


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/113500.html

Tags:
评论  (1)
快来写下你的想法吧!

安识科技

文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号