使用Trend Micro™ Managed XDR调查Web Shell入侵事件

摘要

Trend Micro:trade_mark: Managed XDR团队调查了一起Web Shell入侵事件，攻击者通过IIS工作进程(w3wp.exe)执行可疑活动。攻击者上传了Web Shell，创建了新账户并修改了现有用户密码，使用编码的PowerShell命令建立反向TCP shell进行C&C通信。本文详细介绍了攻击过程、技术分析和响应建议。

初始访问

攻击者通过上传Web Shell到IIS工作进程(w3wp.exe)获得初始访问权限。我们通过分析Web服务器接收的请求确定了攻击源主机。在创建Web Shell之前，我们观察到以下POST请求：

POST /****/batchupload.aspx - 443 - 86.48.10[.]109 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/131.0.0.0+Safari/537.36 https://<domain>/****/batchupload.aspx 200 0 0 111
POST /****/email_settings.aspx - 443 - 86.48.10[.]109 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/131.0.0.0+Safari/537.36 https://<domain>/****/email_settings.aspx 200 0 0 93

发现

攻击者向Web Shell发送POST请求，导致IIS工作进程生成cmd.exe和powershell.exe。攻击者还执行了发现命令：

• whoami
• tasklist
• systeminfo
• type

攻击者创建了新账户并修改了现有用户密码，还将Web Shell重命名为合法文件以逃避检测。

命令与控制

攻击者使用编码的PowerShell命令创建反向TCP shell连接到C&C IP地址，下载了以下工具：

• http://54.255.198[.]171/0x02.exe
• http://54.255.198[.]171/rev.bat
• http://54.255.198[.]171/AnyDesk.exe
• http://54.255.198[.]171/ngrok.exe

攻击者还安装了AnyDesk远程桌面应用程序并配置为开机自启。

数据收集与外泄

攻击者使用7zip压缩Web服务器工作目录内容并通过IIS服务器功能外泄数据，随后删除压缩文件以掩盖痕迹。

技术分析

我们分析了收集到的文件，发现多个Web Shell允许任意命令执行、文件管理和上传功能。0x02.exe样本使用了菲律宾语和英语混合的调试日志，用于通过RPC和命名管道进行远程代码执行。

解决方案与建议

1. 验证和清理输入：确保所有Web页面输入都经过验证和清理，防止注入攻击。
2. 实施认证和访问限制：对敏感端点实施强认证方法，限制仅授权用户访问。
3. 修补系统和应用：检查服务器和Web应用的已知漏洞，确保应用最新安全补丁。
4. 配置安全产品：确保所有安全工具（如端点检测、防火墙和监控系统）按供应商最佳实践配置和更新。

威胁情报

Trend Vision One客户可以访问一系列情报报告和威胁洞察，以主动保护环境、降低风险并有效应对威胁。

狩猎查询

Trend Vision One客户可以使用搜索应用匹配或狩猎本博客中提到的恶意指标。

危害指标(IoCs)

危害指标可在此链接找到。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码