Emissary Panda攻擊：針對中東政府的Sharepoint伺服器

新聞 06-04

摘要

2019年4月，Unit 42觀察到Emissary Panda（又名APT27、TG-3390、Bronze Union、Lucky Mouse）威脅組織通過在Sharepoint伺服器上安裝webshell來攻擊中東兩個國家的政府機構。此次攻擊利用了Microsoft SharePoint的漏洞CVE-2019-0604，這是一個遠程代碼執行漏洞，已於近期修補。在攻陷了Sharepoint伺服器並安裝好webshell後，Emissary Panda會上傳了一些工具執行某些活動，例如轉儲憑證，或是定位轉移到網路上的其他系統。特別值得注意的是，攻擊者還會偵查目標系統是否包含漏洞CVE-2017-0144，該漏洞曾被「永恆之藍」利用過，在2017年WannaCry攻擊中造成了巨大的破壞和影響。

除此之外，Emissary Panda還通過webshell上傳一些合法的可執行文件，通過DLL側載入來運行惡意DLL。我們還在SharePoint伺服器上找到了「中國菜刀」（China Chopper）webshell，它也被Emissary Panda威脅組織所使用。

在本篇文章中,我們將說明在這些受感染的SharePoint伺服器上觀察到的工具和攻擊策略，並解釋它們與Emissary Panda的關聯性。

攻擊概述

2019年4月1日至2019年4月16日，我們在兩個不同的政府組織託管的三個SharePoint伺服器上發現了webshell活動的痕迹，攻擊者在這三個SharePoint伺服器上上傳了共24個可執行文件。圖1顯示了文件上載的時間軸，三種顏色分別表示三個webshell，圖中的標籤則是對應的上傳文件，其中前兩個webshell活動時間間隔較短，到了4月16日才開始出現第三個webshell的身影。上傳文件大多是相同的，表明很可能是同一組織所為。

上傳到webshell的工具從合法的應用程序（如cURL）到後期開發工具（如Mimikatz）不等，還有用於掃描和利用網路中潛在漏洞的工具，例如SMB補丁MS17-010中修補的漏洞CVE-2017-0144就是被檢索的對象之一，該漏洞常被EternalBlue利用，能橫向移動到網路上的其他系統。我們還觀察到，上傳的文件中還有HyperBro之類的自定義後門，HyperBro通常與Emissary Panda有關。

Webshell安裝

如前所述，我們在兩個不同組織託管的三個SharePoint伺服器中發現了webshell，其中兩個具有相同的文件名errr.aspx，另一個文件名為error2.aspx。webshell託管在受感染伺服器上的以下路徑中：

/_layouts/15/error2.aspx

/_layouts/15/errr.aspx

我們收集了攻擊者與error2.aspx交互的信息。error2.aspx（SHA256：006569f0a7e501e58fe15a4323eedc08f9865239131b28dc5f95f750b4767b38）是Antak webshell的變體，Antak webshell是紅隊工具Nishang的一部分。Antak在error2.aspx中的特定變體是v0.5.0版，含有一些基本的身份驗證功能和執行SQL查詢的功能，它可能是攻擊者在Nishang GitHub存儲庫（）或SecWiki的GitHub中獲得的。圖2顯示了在其中一個Sharepoint伺服器上載入的Antak webshell。

除了Antak webshell之外，Sharepoint伺服器還安裝了其他幾個webshell，如stylecs.aspx，stylecss.aspx和test.aspx（見表1），似乎都與China Chopper webshell相關。我們不能確定是否這些webshell都是由相同的攻擊者安裝的，因為SharePoint伺服器可能已被多個攻擊者利用過。與China Chopper相關的webshell是一行JScript代碼，攻擊者能輕鬆複製使用；Antak webshell則可從公開訪問的存儲庫中獲取。但讓我們將其歸因於Emissary Panda組織一個重要線索就是Antak webshell中同時出現China Chopper以及Emissary Panda的自定義payload，因為該組織過去也曾使用過China Chopper來破壞伺服器的案例。

stylecs.aspx webshell提供了相當重要的功能，它能運行HTTP請求中提供的任何JScript代碼。圖3顯示了stylecs.aspx的代碼，它將在參數為e358efa489f58062f10dd7316b65649e中的URL中運行base64編碼的JScript。參數e358efa489f58062f10dd7316b65649e是字母"t"的MD5哈希值，也是China Chopper的已知參數。

stylecss.aspx webshell與stylecs.aspx非常相似，它運行參數為e358efa489f58062f10dd7316b65649e的URL中的JScript; stylecss.aspx webshell不接受base64編碼的JScript，而是需要明文形式的JScript。圖4顯示了stylecss.aspx中的代碼，與上面的圖3相比，它缺少base64解碼函數"FromBase64String"。

在Sharepoint伺服器提取的最後一個webshell的文件名為test.aspx，它與stylecs.aspx webshell非常相似，也是運行請求的URL中提供的base64編碼的JScript，但是該腳本需要受感染組織的相關參數來獲取，腳本會在在瀏覽器中運行和顯示。test.aspx shell還包含將HTTP響應狀態設置為「404 Not Found」的代碼，能在顯示錯誤頁面的同時在後台運行JScript。圖5顯示了test.aspx文件中的代碼。

歸因

2019年4月，數個國家的安全組織發布了有關CVE-2019-0604漏洞利用的警報，沙烏地阿拉伯和加拿大的國家網路安全中心都報告了威脅組織利用CVE-2019-0604入侵SharePoint伺服器並安裝China Chopper webshell的事件，而此次觀察到的SharePoint伺服器上託管的webshell代碼和上述報備的存在一定重疊。

沙烏地阿拉伯國家網路安全中心對之前的攻擊事件有做詳細說明，也列出了China Chopper webshell的相關代碼，有個細節是Request.Item [「t」]從URL的"t"參數中獲取JScript代碼，跟我們上文的描述一致——e358efa489f58062f10dd7316b65649e是"t"的MD5哈希值，而此次stylecs.aspx和stylecss.aspx也都使用了該參數，說明威脅行為者在看到報告之後，在不改變功能的基礎上對他們的腳本做了略微修改，此外，之前的報告中也提到過有個名為stylecss.aspx的webshell，這與我們看到的與China Chopper相關的文件名相同。

而加拿大網路安全中心提供了該活動相關文件的SHA256哈希值，其中一個名為pay.aspx的文件的哈希為05108ac3c3d708977f2d679bfa6d2eaf63b371e66428018a68efce4b6a45b4b4。 pay.aspx文件是China Chopper webshell的一部分，與我們上面討論過的stylecss.aspx webshell非常相似，唯一的主要區別是pay.aspx webshell通過URL中"vuiHWNVJAEF"參數獲取並運行JScript。下面的圖6顯示了stylecss.aspx和pay.aspx文件之間的差異。

圖6.加拿大網路安全中心提供的的stylecss.aspx webshell和現在的pay.aspx webshell之間的比較

上傳工具

我們搜集了上傳到三個webshell中的工具，如圖7所示，幾起行動之間的工具使用有一定重疊，其中之一就是合法的cURL應用程序；還有用來定位網路上系統的工具（etool.exe），以檢查系統是否有MS07-010（checker1.exe）補丁；還有一個類似PsExec的遠程執行工具——Impacket (psexec.exe)。這些工具雖然不是攻擊者原創的，但也能體現活動間的關聯性。我們還觀察到其中一個webshell上傳了HyperBro後門和合法的可執行文件，這些可執行文件載入的惡意DLL代碼也能關聯到之前的Emissary Panda活動。

error2.aspx webshell中有10個可移植的可執行文件，如表2所示。上傳到此webshell的工具列表包括：cURL和用於載入惡意DLL的Sublime Text組件的合法應用程序；還包括幾個黑客工具，例如用於憑據轉儲的Mimikatz，和幾個用於定位和危害本地網路上其他系統編譯python腳本；以及一個名為HyperBro的自定義後門。

上傳到errr.aspx webshell的工具有17個，託管在另一個政府組織的SharePoint伺服器上，如圖8所示（中間部分），工具詳情參見表3。

errr.aspx webshell中有兩個工具——zzz_exploit.py和checker.py，如果系統沒有MS17-010補丁，會被攻擊者用於遠程控制。此外，使用Mimikatz和pwdump工具表明攻擊者試圖在受感染的系統上轉儲憑據。我們能夠收集攻擊者用來運行SMB後門smb1.exe的命令行參數，參數顯示攻擊者會通過SMB後門使用域用戶名和帳戶的密碼哈希在遠程主機上運行批處理腳本m.bat：

c:\programdata\smb1.exe \ : winsk c:\programdata\m.bat

上傳到errr.aspx webshell的可移植可執行文件數量上要少得多，表4中列出了它的3個文件，包含了相同的編譯python腳本，可以掃描易受CVE-2017- 0144攻擊的遠程系統，此外還有一個合法的Microsoft應用程序，能載入惡意DLL。

Emissary Panda專屬工具

上傳到這些webshell的許多工具都是可公開訪問的黑客工具，但有幾個工具可能是Emissary Panda的專屬工具。

HyperBro

上傳到error2.aspx webshell的s.exe（SHA256：04f48ed27a83a57a971e73072ac5c769709306f2714022770fb364fd575fd462）是一個自解壓7-zip存檔，屬於HyperBro後門之一。HyperBro是Emissary Panda在其攻擊活動中開發和使用的一個定製後門，它使用合法的pcAnywhere應用程序來側載入DLL，解密、解壓並運行嵌入在名為「thumb.db」的文件中的payload。表5顯示了與此HyperBro樣本關聯的三個文件（SHA256哈希：34a542356ac8a3f6e367c6827b728e18e905c71574b3813f163e043f70aa3bfa和2144aa68c7b2a6e3511e482d6759895210cf60c67f14b9485a0236af925d8233）。

payload是於2019-03-11 02:23:54編譯的DLL文件，它具有兩個功能，具體取決於二進位文件的命令行參數是-daemon還是-worker。守護進程（daemon）處理木馬的C2通信部分，並使用以下URL通過HTTPS與185.12.45 [.] 134進行通信：

hxxps：//185.12.45134[]：443/ AJAX

工作進程（worker）的功能是從C2伺服器接收數據，伺服器通過名為「\\.\ pipe \ testpipe」的管道從守護進程傳遞給工作進程。攻擊者將接收到的數據置於命令處理程序中，命令處理程序的可用命令列於表6中。

未知的側載入Payload

表2和表4中列出了兩個用於DLL側載入的合法可執行文件，分別是Sublime Text的plugin_host.exe應用程序和Microsoft System Center 2012 Configuration Manager的CreateMedia.exe應用程序。plugin_host.exe從名為python33的庫中導入多個函數來載入名為PYTHON33.dll的惡意DLL，CreateMedia.exe應用程序從名為CreateTsMediaAdm的庫中導入多個函數來載入名為CreateTsMediaAdm.dll的惡意DLL。這兩者我們在之前的行動中未曾見到過。

PYTHON33.dll和CreateTsMediaAdm.dll庫的BinDiff相似度為97％，置信度為99％。圖8中顯示了PYTHON33.dll（右）和CreateTsMediaAdm.dll（左）解密常式的代碼差異：兩者都使用8位元組的XOR密鑰來解密一段shikata_ga_nai的混淆shellcode。shellcode負責修補合法應用程序的入口點，以調用shellcode中的另一個函數，該函數負責載入具有擴展名為.hlp的庫名稱的文件（PYTHON33.hlp或CreateTsMediaAdm.hlp）。

遺憾的是，我們無法訪問PYTHON33.hlp或CreateTsMediaAdm.hlp文件，因此我們不知道這兩個DLL載入的最終payload。然而，通過NCC Group在2018年5月發布的研究，我們能夠發現這些DLL與運行SCCUpdate工具的側載入DLL之間的代碼有重疊，而NCC Group也與Emissary Panda活動相關聯。圖9顯示了PYTHON33.dll（右）和inicore_v2.3.30.dll（左）（SHA256：4d65d371a789aabe1beadcc10b38da1f998cd3ec87d4cc1cfbf0af014b783822）之間的代碼比較，後者在先前的Emissary Panda活動中被側載入運行SysUpdate工具。下面重疊的代碼包含了相同的技術——找到載入可執行文件的入口點，並解密用於修補入口點的第一個shellcode。

結論

Emissary Panda威脅組織通過在Sharepoint伺服器上安裝webshell來攻擊中東兩個國家的政府機構。此次攻擊利用了Microsoft SharePoint的遠程代碼執行漏洞CVE-2019-0604，這個漏洞是在2019年3月12日修復的，而我們在2019年4月1日首次看到了webshell活動。這表明，該威脅組織能夠迅速利用已知的漏洞，利用面向Internet的伺服器訪問目標網路。

一旦攻擊者在目標網路上建立了立足點，他們就會使用China Chopper和其他webshell將工具上傳到SharePoint伺服器，進行憑據轉儲、網路偵察，並利用MS17-010中修補的CVE-2017-0144（EternalBlue）漏洞轉移到網路上的其他系統。我們還觀察到可以側載入DLL的合法工具——Sublime Text plugin host和Microsoft的Create Media應用程序，這兩者都是我們之前從未見過用於DLL側載入的應用程序。

IOCs

Webshells SHA256

2feae7574a2cc4dea2bff4eceb92e3a77cf682c0a1e78ee70be931a251794b86

6b3f835acbd954af168184f57c9d8e6798898e9ee650bd543ea6f2e9d5cf6378

Malicious HackTools and Payloads SHA256

d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333

a18326f929229da53d4cc340bde830f75e810122c58b523460c8d6ba62ede0e5

4a26ec5fd16ee13d869d6b0b6177e570444f6a007759ea94f1aa18fa831290a8

475c7e88a6d73e619ec585a7c9e6e57d2efc8298b688ebc10a3c703322f1a4a7

c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e

d0df8e1dcf30785a964ecdda9bd86374d35960e1817b25a6b0963da38e0b1333

HyperBro C2