背景概述

近日，深信服終端安全團隊發現一起有針對性的黑產攻擊事件，攻擊者利用Exchange郵件服務漏洞入侵伺服器，並透過部署惡意服務下載後門模組，獲取使用者資訊、遠端命令執行惡意程式、進行檔案管理等，以此完成對受害主機的控制。

攻擊流程分析

攻擊者利用Exchange郵件服務漏洞上傳webshell，隨後部署惡意服務。惡意服務會隔一段時間訪問一次後臺，若後臺開放則下載後門模組。並且攻擊者自己實現了PE檔案載入器，透過該載入器解密、修復並執行後門模組。

攻擊流程圖

從日誌中可以看到攻擊者多次訪問webshell

部署惡意服務，服務命名為Spooler

服務拉起惡意程式，程式名稱不固定，通常偽裝成業務檔案

訪問後臺並且下載惡意模組，取隨機數重新命名惡意模組

對下載下來的後門模組進行解密，解密之前會判斷檔案頭是否是0xE1FED9D0

修復IAT、重定位表，並執行後門模組

後門模組分析

安全專家在相關目錄下發現幾個隨機名字的檔案，經過解密分析可以確認為服務下載下來的後門模組。

後門模組不僅包含獲取主機資訊、遠端命令執行、獲取磁碟資訊、下載檔案、檔案重新命名等功能，還透過修改登錄檔、覆蓋檔案實現持久化。

將自身複製為schmet.exe並修改登錄檔加入啟動專案

將自身複製為schost.exe，並且覆蓋FileSyncFalwb.dll檔案，在FileSyncFalwb.dll中執行schost.exe

將自身複製到mpetect.exe，修改登錄檔鍵值UserInitMprLogonScript

獲取主機資訊，包含使用者名稱、計算機名、系統版本、CPU主頻等資訊

利用匿名管道遠端執行powershell指令

獲取主機各個磁碟的資訊

下載主機的檔案

檔案重新命名

安全加固

1. 內網中的主機系統、服務軟體保持安裝最新的補丁，避免漏洞入侵。

2. 伺服器密碼使用複雜密碼，且不要與其他主機密碼重複、不要與外部賬號密碼重複，防止洩露。

3. 避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺。

深信服安全產品解決方案

1.使用深信服下一代防火牆AF、終端檢測響應平臺EDR、安全感知平臺SIP等安全產品，均已繼承了SAVE人工智慧引擎，均能夠有效地檢測防禦此類惡意軟體，透過部署此類產品，使用者可進行安全掃描，以保證計算機的安全：

2. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3. 深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。