背景概述
近日,深信服終端安全團隊發現一起有針對性的黑產攻擊事件,攻擊者利用Exchange郵件服務漏洞入侵伺服器,並透過部署惡意服務下載後門模組,獲取使用者資訊、遠端命令執行惡意程式、進行檔案管理等,以此完成對受害主機的控制。
攻擊流程分析
攻擊者利用Exchange郵件服務漏洞上傳webshell,隨後部署惡意服務。惡意服務會隔一段時間訪問一次後臺,若後臺開放則下載後門模組。並且攻擊者自己實現了PE檔案載入器,透過該載入器解密、修復並執行後門模組。
攻擊流程圖
從日誌中可以看到攻擊者多次訪問webshell
部署惡意服務,服務命名為Spooler
服務拉起惡意程式,程式名稱不固定,通常偽裝成業務檔案
訪問後臺並且下載惡意模組,取隨機數重新命名惡意模組
對下載下來的後門模組進行解密,解密之前會判斷檔案頭是否是0xE1FED9D0
修復IAT、重定位表,並執行後門模組
後門模組分析
安全專家在相關目錄下發現幾個隨機名字的檔案,經過解密分析可以確認為服務下載下來的後門模組。
後門模組不僅包含獲取主機資訊、遠端命令執行、獲取磁碟資訊、下載檔案、檔案重新命名等功能,還透過修改登錄檔、覆蓋檔案實現持久化。
將自身複製為schmet.exe並修改登錄檔加入啟動專案
將自身複製為schost.exe,並且覆蓋FileSyncFalwb.dll檔案,在FileSyncFalwb.dll中執行schost.exe
將自身複製到mpetect.exe,修改登錄檔鍵值UserInitMprLogonScript
獲取主機資訊,包含使用者名稱、計算機名、系統版本、CPU主頻等資訊
利用匿名管道遠端執行powershell指令
獲取主機各個磁碟的資訊
下載主機的檔案
檔案重新命名
安全加固
1. 內網中的主機系統、服務軟體保持安裝最新的補丁,避免漏洞入侵。
2. 伺服器密碼使用複雜密碼,且不要與其他主機密碼重複、不要與外部賬號密碼重複,防止洩露。
3. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺。
深信服安全產品解決方案
1.使用深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品,均已繼承了SAVE人工智慧引擎,均能夠有效地檢測防禦此類惡意軟體,透過部署此類產品,使用者可進行安全掃描,以保證計算機的安全:
2. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。