思科 Talos 事件响应报告：web shell 是 2023 年第一季

　　思科 Talos 事件响应 ( Talos IR ) 报告称，与前几个季度相比，web shell 是 2023 年第一季度最常见的威胁，占 Talos IR 发现的近四分之一。这些 web shell 的功能以及它们针对的平台中的特定漏洞和弱点各不相同。尽管每个 web shell 都有自己的基本功能集，但当每次攻击中存在多个 web shell 时，攻击者会将它们链接在一起，以提供更灵活的工具包，以便在整个网络中传播访问。这展示了攻击者在组合多种访问方式和工具方面的技能，并增加了他们部署额外恶意软件或获取敏感和私人信息的可能性。

　　勒索软件在本季度的威胁中所占的比例比过去有所下降，从 20% 降至 10% 左右。鉴于 Talos IR 在本季度末观察到勒索软件事件的激增，这种减少并不一定意味着一般勒索软件活动的减少，因为它反映了针对 Talos IR 客户群的活动。然而，勒索软件和预勒索软件事件加起来占观察到的威胁的 20% 以上。如果勒索软件从未执行，并且没有进行加密，那么很难确定什么构成了勒索软件前的攻击，但许多勒索软件前的活动都与著名的勒索软件组织 ( 如 Vice Society ) 有关。

　　本季度还出现了以前看到的大型加载程序，如 Qakbot。在本季度的活动中，Qakbot 利用了恶意 OneNote 文档，这与传播武器化 Microsoft Office OneNote 附件的各种恶意软件的增加相一致。天选这表明，在微软于 2022 年 7 月开始在其应用程序中默认禁用宏之后，攻击者正在尝试使用不依赖宏的文件类型来传递恶意有效载荷。

　　天选团队

　　在超过 45% 的攻击中，攻击者利用面向公众的应用程序建立初始访问，比上一季度的 15% 有了显著增长。在许多此类攻击中，web shell 的使用导致攻击者试图攻击暴露在互联网上的基于 web 的服务器。

　　Talos IR 观察到，自 2023 年 1 月以来，web shell 的使用量从上个季度占所有威胁的 6% 增加到现在占所有威胁的近 25%。Web shell 是一种恶意脚本，它使攻击者能够攻击暴露在互联网上的基于 Web 的服务器。本季度，Talos 观察到攻击者使用公开可用的或修改过的 web shell，这些 shell 用各种语言编码，包括和 Perl。在利用 web shell 建立立足点并获得对系统的持久访问后，攻击者远程执行任意代码或命令，在网络内横向移动，或传播额外的恶意有效负载。在许多类似 web shell 事件中，攻击者严重依赖于来自公开可用的 GitHub 存储库的 web shell 代码。这一发现也符合 2022 年 7 月至 9 月 ( 2022 年第三季度 ) Talos IR 观察到的趋势，攻击者使用 GitHub 存储库上托管的各种开源工具和脚本来支持跨攻击生命周期多个阶段的操作。

　　第二个 web shell ( ms3.aspx ) 是基于 windows 的，允许 SQL 连接到内部服务器，如果成功，结果将在浏览器中呈现。第三个是另一个基于 php 的 web shell ( re.php ) ，它执行端口扫描并创建一个出站套接字来响应 / 泄漏数据给攻击者。这个特定的 web shell 包含一个硬编码的 IP 地址，解析到云服务提供商 DigitalOcean。

　　最后的 web shell ( txt .asp ) 是一个基于 windows 的 web shell，它使用 wscript.shell 和 exec ( ) 来运行通过 HTML 文档呈现在屏幕上的命令。虽然每个 web shell 本身都具有基本功能，但通过将它们链接在一起，攻击者创建了一个灵活的工具包，这样可以在整个网络中传播它们的访问权限，同时提供一个代理来盗窃敏感数据。

　　虽然本季度 web shell 出现的确切原因尚不清楚，但它们最近越来越受欢迎很可能与从开源存储库获取代码的便利性有关。开放源代码 web shell 代码的可用性和易于访问性，加上可能公开暴露的系统或管理不善的补丁，使得使用 web shell 成为一个有利可图的选择。

　　勒索软件在本季度的威胁中所占的比例要小得多，从 20% 降至 10%。展望未来，最近勒索软件业务激增，我们预计下个季度将再次趋于平稳。综合来看，勒索软件和预勒索软件事件加起来占观察到的攻击的 20% 以上。

　　Talos IR 自 2020 年以来一直在应对 Phobos 勒索软件攻击，最初的访问可能涉及远程桌面协议 ( RDP ) 。攻击者部署了一个名为名为 mimidrv.sys 的文件。这是一个签名的 Windows 内核模式软件驱动程序，旨在与 Mimikatz 可执行文件一起使用。Talos IR 还识别出了 7 个启动项目，其中包括下载勒索软件可执行文件 Fast.exe。这是一种常见的持久性技术，在攻击者对客户的 Amazon Relational Database Service ( RDS ) 服务器上的注册表进行修改的活动之后使用。加密后，攻击者对文件进行了加密，并在文件中添加了 .fust 扩展名，并在目标设备上发送了一封勒索信。

　　本季度研究人员还发现了 Daixin 勒索软件，这是一个新的勒索软件即服务（RaaS）家族，Talos IR 以前从未看到过。据美国网络安全和基础设施安全局（CISA）称，2022 年 6 月首次出现的 Daixin 通常通过附属公司的虚拟专用网络（VPN）服务器或利用未修补的漏洞访问受害者系统。在 Daixin 发起的一次攻击中，攻击者通过附属公司修改了注册表值，映射了网络共享，并将随机命名的 BAT 文件作为系统上的服务运行。Talos IR 还识别了 Impacket 工具集，一个用于处理不同网络协议的 Python 类集合，以及一个加载 Cobalt Strike 有效载荷的 PowerShell 脚本，该脚本随后在 4444 端口上启动了 Cobalt Strike shellcode 侦听。

　　研究人员分析，新的恶意软件家族的出现可能与最近执法部门打击勒索软件攻击者的行动有关，旧组织的消亡将为新组织的出现创造空间，这个现象之前就发生过。2023 年 1 月，美国司法部宣布对 Hive 勒索软件组织进行为期数月的行动。美国联邦调查局与外国执法合作伙伴一起，进入 Hive 网络并获取解密其软件的密钥后，缴获了其服务器，有效地破坏了 Hive。自 2022 年 8 月以来，研究人员没有在 Talos IR 活动中观察到 Hive 勒索软件，这可能表明 Hive 操作已经停止，而前成员可能已经加入其他组织或以新名称重新另起炉灶。

　　从 2022 年底到 2023 年初，Qakbot 加载程序在本季度的所有活动中都利用了包含恶意 OneNote 文档的 ZIP 文件，这与终端遥测和关于网络钓鱼电子邮件中利用 OneNote 文档的威胁的公开报告一致。在一次 Qakbot 活动中，一个 ZIP 文件 ( Inv_02_02_#3.zip ) 被检测为 Qakbot，其中包含一个恶意的 OneNote 文档，该文档试图引诱用户点击 打开 ，其中包含一个恶意的嵌入式 URL。

　　虽然 Talos IR 本季度没有对任何 Emotet 事件做出回应，但 Emotet 在中断数月后，于 2023 年 3 月重新出现，恢复了其发送的垃圾邮件业务。在相对较短的时间内，Emotet 多次修改其感染链，以最大限度地提高成功感染受害者的可能性。到 3 月中旬，Emotet 已开始传播恶意 OneNote 文档，这表明攻击者将继续用更新的传播方法来感染受害者。

　　本季度有 45% 的攻击者利用面向公众的应用程序建立初始访问权限，比上一季度的 15% 有显著增长。在许多此类攻击中，web shell 的使用导致攻击者试图攻击暴露在互联网上的基于 web 的服务器。有效帐户或具有弱密码或单因素身份验证的帐户也有助于在攻击者利用受感染凭据的情况下进行初始访问。

　　在另一个 web shell 攻击中，Talos IR 发现了一个易受攻击的 Magento ( Adobe Commerce ) 2.4.2 版本，该版本在被利用时正在 Kubernetes 部署中运行。Talos IR 总共发现了该版本软件的九个已知漏洞，不包括扩展。Talos IR 建议将 Magento 的所有实例升级到最新的可用版本，并定期检查需要修补或完全删除的易受攻击的过时扩展版本，以减少可用的攻击面。

　　缺乏多因素身份验证 ( MFA ) 仍然是企业安全的最大障碍之一。近 30% 的组织要么没有 MFA，要么只在少数账户和关键服务上启用了 MFA。Talos IR 经常观察到勒索软件和网络钓鱼事件，如果在关键服务，如终端检测响应 ( EDR ) 解决方案或 vpn 上正确启用 MFA，其实这些事件本可以避免。为最大限度缓解初始访问载体，Talos IR 建议禁用所有未使用 MFA 的帐户的 VPN 访问。

　　web shell 攻击的增加凸显了在帮助防止 web shell 方面提高警惕的必要性。缓解措施如下所示：

　　定期更新和修补所有软件和操作系统，以识别和修复 web 应用程序和 web 服务器中的漏洞或错误配置；

　　除了修复漏洞之外，还要执行一般的系统强化，包括删除不必要的服务或协议，并注意所有直接暴露在互联网上的系统；

　　下表显示了本季度 Talos IR 观察到的 MITRE ATT 和 CK 技术。考虑到一些技术可以属于多种策略，我们将它们分组在最相关的策略中。

　　利用面向公众的应用程序是观察到的最常见的初始访问技术，而增加的 web shell 活动可能有助于这一重大观察。

　　开源安全工具包 Mimikatz 在本季度被用于支持近 60% 的勒索软件和预勒索软件。Mimikatz 是一种广泛使用的漏洞利用后工具，用于从受攻击的 Windows 系统中窃取登录 ID、密码和身份验证令牌。