APT 黑客组织“螳螂”利用 ASP.NET 漏洞攻击IIS 服务器
以色列网络安全公司 Sygnia 正在追踪名为“螳螂”或“TG2021”的ATP黑客组织,APT黑客组织“螳螂”利用微软的APS.NET漏洞攻击IIS服务。
TG1021 为 IIS 服务器量身定制,会反射性地加载到受影响机器的内存中,并且在受感染的目标上几乎没有留下任何痕迹,威胁行为者使用一个额外的隐蔽后门和几个后利用模块来执行网络侦察、提升特权和在网络内横向移动。
Sygnia 识别并响应的攻击是由名为“Praying Mantis”的高级且持久的威胁行为者实施的,该行为几乎完全在内存中运行。通过利用各种针对 Windows IIS 服务器的反序列化漏洞和针对 Web 应用程序的漏洞,在网络中获得了最初的立足点。观察到的活动表明,Praying Mantis 非常熟悉 Windows IIS 软件并配备了零日漏洞。
Praying Mantis 利用为 IIS 服务器量身定制的完全易变的自定义恶意软件框架。加载到面向 Internet 的 IIS 服务器的核心组件拦截并处理服务器收到的任何 HTTP 请求。威胁行为者还使用额外的隐蔽后门和几个后利用模块来执行网络侦察、提升特权和在网络内横向移动。螳螂是一位经验丰富的隐身演员,高度了解 OPSEC(操作安全)。所使用的恶意软件通过主动干扰日志记录机制、成功规避商业 EDR 以及静默等待传入连接而不是连接回 C2 通道并持续产生流量,显示了避免检测的重大努力。此外,螳螂在使用后主动删除了所有磁盘驻留工具——有效地牺牲了持久性以实现隐身。
除了展示通过主动干扰日志记录机制和成功规避商业端点检测和响应 (EDR) 系统来避免检测的重大努力外,已知威胁行为者还利用 ASP.NET Web 应用程序漏洞利用库来获得通过执行一个名为“NodeIISWeb”的复杂植入程序来初始立足点和后门服务器,该植入程序旨在加载自定义 DLL 以及拦截和处理服务器收到的 HTTP 请求。
攻击者利用的漏洞包括:CVE-2021-27852:Checkbox Survey 的 CheckboxWeb.dll 中的 Untrusted Data 反序列化漏洞允许未经身份验证的远程攻击者执行任意代码。VIEWSTATE 反序列化利用Altserialization 不安全的反序列化CVE-2019-18935 ASP.NET AJAX 的 Progress Telerik UI 通过 2019.3.1023 在 RadAsyncUpload 函数中包含一个 .NET 反序列化漏洞。当由于 CVE-2017-11317 或 CVE-2017-11357 或其他方式的存在而知道加密密钥时,这是可利用的。漏洞利用可能导致远程代码执行。CVE-2017-11317 Telerik.Web.UI 进行中 R1 2017 之前的 ASP.NET AJAX 和 R2 2017 SP2 之前的 R2 的 Telerik UI 使用弱 RadAsyncUpload 加密,允许远程攻击者执行任意文件上传或执行任意代码。)
TG1021攻击防御建议:1.修补.NET反序列化漏洞2.寻找已知的妥协指标3.使用一组Yara规则扫描面向internet的IIS服务器4.积极搜寻互联网上面向IIS环境的可疑活动所谓,螳螂捕蝉黄雀在后,且看螳螂捕完蝉之后黄雀在何方?网络安全等级保护:政务计算机终端核心配置规范思维导图网络安全等级保护:网络安全等级保护工作的内涵网络安全等级保护:什么是等级保护?网络安全等级保护:网络安全漏洞分类分级及管理规范网络安全等级保护:等级保护测评的目的、时机