“黑产对抗监测”:全局暗链植入!针对IIS应用服务器劫持进行暗链植入的病毒样本分析

序言

近日,一种新型全局劫持的暗链植入行为肆虐网络空间(详见《关于一种大规模的暗链劫持流量的风险提示》)。安恒信息中央研究院零壹实验室发现,多达40.59%的失陷网站部署在IIS服务器框架上。通过对IIS服务器上病毒样本的分析,我们发现,这是一种通过篡改web服务器加载模块(加载DLL文件)达到的全局暗链植入。相比于修改Global.asa、web.config、auto_prepend_file、httpd.conf、nginx.conf等配置文件,该类型的恶意模块兼具隐蔽性和多功能性,不仅能够更好的隐藏攻击者行为,而且可以实现后门、信息窃取、流量代理等修改配置文件无法实现的恶意功能。

1抽丝剥茧——病毒植入原理

为了更好的对IIS服务中所有站点进行管理,IIS服务允许管理员安装模块对服务器上的全局信息进行个性化的处理,如全局对访问鉴权、对http请求过滤、设置返回信息等。因此攻击者利用IIS模块能够对http请求和返回进行处理的特性,通过实现CHttpModule或CGlobalModule类中不同的函数实现对http请求和返回的控制。下图为IIS的服务器对http请求的处理流程。

1658384098_62d8eee2796d33c35c97c

2鉴往知来——会进化的病毒

类型概述

版本功能对抗/逃逸
UA判断Ref判断URL劫持后门代理
类型1×首页××关键字符串使用实体编码
类型2×特定URL×关键字符串异或0x56加密
类型3搜索引擎特定URL后门密码md5硬编码
类型4特定google特定URL后门密码md5硬编码,白加黑捆绑正常样本
类型5搜索引擎特定URLDNSQuery获取配置文件,关键字符凯撒加密保存

为了更好的对IIS暗链攻击者画像进行描绘,我们根据样本的实现的功能及目的将其分为5个大类。其中功能分为UA判断、Ref判断、Url劫持、后门及代理。具备UA判断功能的样本会根据http请求中携带的User-Agent来判断是否为搜索引擎爬虫。Ref判断功能表示样本能根据http请求的Referer字段判断请求来源是否为搜索引擎。具备URL劫持功能的样本会对带有特定字符串的url请求返回特定页面,其中首页表示具有index、default的请求,一般不同的样本会有不同的特征URL,这也是区分样本的重要特征。后门表示攻击者可以通过恶意模块对服务器进行远程控制。代理表示恶意模块在植入暗链时会实时向攻击者网站获取信息。

1、类型1

类型1样本仅对网站的首页进行暗链相关内容植入。搜索引擎访问受害者网站时,恶意模块会将网页的title和meta信息替换为模块中的硬编码信息,达到对黄赌毒网站信息传播的目的。

1658384161_62d8ef21bc18f39c8a1c5

2、类型2

类型2样本不但实现了暗链功能还实现了代理功能。当搜索引擎访问受害者网站访问时,恶意模块会使用代理模块从攻击者网站获取暗链页面并返回。类型2与类型1相比,攻击者能够通过后端网站的配置实时修改暗链的返回页面,甚至在必要时可以关闭返回达到规避暗链检测的目的。

1658384171_62d8ef2b7c6813d18d98d

3、类型3

类型3样本同时实现了暗链、后门及代理功能。样本根据URL、UA、Referer以及CMD字段,将http访问分成了正常用户访问、搜索引擎爬虫以及攻击者访问。如果访问者是正常用户则返回网站原本页面,如果访问者是搜索引擎爬虫则返回攻击者服务器设置的赌博或色情页面,如果是攻击者访问则会执行命令并返回结果。在添加后门功能后,类型3样本危害性远超类型1与类型2。

1658384192_62d8ef401685a08538a0c

后门实现了命令执行、msf反弹shell、下载及信息收集功能,具体命令格式如下表所示。

后门命令命令参数格式说明
cmd{pass}$cmd${param}启动cmd.exe并执行param命令
msf{pass}$msf${ip}${port}反向连接攻击者msf服务器
dw{pass}$dw${url}${file}下载url文件到被入侵服务器的指定文件中
in{pass}$in获取被入侵服务器基本信息

4、类型4

类型4样本功能与类型3相似,最大区别在于类型4样本通过捆绑正常模块如F5XFFHttpModule(一种用于记录访问者IP的正常模块)进行传播。白加黑的样本既可以在安装模块后很好的伪装攻击行为,也能上传到下载站诱骗管理人员下载安装。类型4样本同时具备危害性与隐蔽性,不容易被发现。

1658384202_62d8ef4aad78b99e867ae

5、类型5

类型5样本在初始化时需要通过DnsQuery向xinxx.allsoulu.com查询UA、URL及C&C服务器等暗链配置信息。该类型样本远程加载配置信息的方式,不但有一定的免杀效果,也使攻击者的暗链植入更加灵活。

1658384219_62d8ef5b363061526e405

3引而伸之——病毒处置建议

1、专业设备排查

手动排查较为繁琐且需要管理人员具备专业的病毒分析能力。此外攻击者为了持久化攻击,可能会向服务器的其他地方引入新的病毒。建议使用专业设备对服务器进行一次全局病毒扫描。

2、手动排查

下面以windows7 IIS7.5服务器为例展示如何对IIS模块进行手动排查。

第一步打开Internet信息服务(IIS)管理器,并点击模块。

1658384250_62d8ef7ad77757d068736
1658384265_62d8ef895799d401cf36d

第二步根据模块dll路径手动排查,查看每个DLL是否为微软自带,需要重点排查大小超过100KB且文件日期较新的DLL。

第三步从IIS中移除恶意样本模块,本例中的恶意模块为evil_dll路径为c:binsortkey.dll,右键删除。点击配置本机模块,勾选evil_dl点击删除。

1658384279_62d8ef97587edac4c686c

第四步从磁盘删除恶意DLL,到C:bin目录下将sortkey.dll删除(谨慎操作,建议提前做好备份文件)。

3网站漏洞加固

网站被植入恶意IIS模块意味着网站及服务器本身存在着严重的安全漏洞,管理员权限已经被黑客窃取。因此,恶意IIS模块的植入往往意味着植入后门、窃取核心数据、破坏服务器等的风险已经发生。所以一旦出现恶意模块植入,不能只是简单删除对应模块和文件,而是需要利用专业的漏扫设备/服务对服务器进行全面对病毒扫描、修复。

本文作者:安恒威胁情报中心, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/21396

(2)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年7月30日 下午9:50
下一篇 2022年7月31日 下午2:44

相关推荐