網路資安威脅
洞悉Web Shell與VPN威脅的初始階段:MXDR 分析
儘管駭客在網路攻擊中使用網站指令介面 (Webshell) 以及 VPN 入侵的手法早已見怪不怪,但這樣的作法至今卻仍相當普遍。趨勢科技託管延伸式偵測及回應 (MXDR) 服務最近分析到的事件,突顯出行為分析與異常偵測對資安的重要性。
重要洞見與重點:
- 駭客越來越常採用多層式的備援策略,結合了多種不同工具,例如:Webshell、通道 (tunneling) 軟體,以及遠端存取應用程式。
- 趨勢科技託管式延伸偵測及回應 (MXDR) 服務的分析揭露,駭客採取了一種多重步驟的方法來確保即使某個入侵點被偵測及攔截,也能繼續保有存取能力。
- Webshell 可讓駭客跟已遭其駭入的伺服器保持互動,不僅能從事惡意活動,又能在必要時迅速調整攻擊手法。
- 駭客只要駭入 VPN 帳號,就能潛入網路內部,他們會將惡意程式和惡意活動偽裝成看似合法的流程來避免被偵測。
- 藉由 MXDR 與數位鑑識分析,再加上事件回應功能,企業就能擁有可化為行動的威脅情報來協助網路資安團隊偵測駭客入侵的早期徵兆、主動發掘異常行為,並且更有效採取遏止與復原行動。
面對今日不斷演進的網路威脅,企業必須隨時保持警戒。例如我們觀察到的兩起重大網路資安事件,便針對兩種廣為人知的技巧加以改良:Webshell 攻擊與 VPN 入侵。我們在遏止這些事件的當下以及後續的分析期間仔細檢查了 Vision One 的記錄檔,因而掌握了這些威脅如何進入、如何升高攻擊,以及下一步可能會怎麼做。
我們的託管延伸式偵測及回應 (MXDR) 團隊分析了這些事件,並提出一些洞見來協助其他企業強化其網路資安狀況與事件回應策略。
MXDR 案例 1:持續性 Webshell 攻擊
網站伺服器通常是可公開存取的,因此經常成為駭客發動漏洞攻擊與尋找組態設定錯誤或未修補軟體的目標。這類伺服器一旦遭駭客入侵,就可能被用它來安裝惡意程式、竊取資料,或發動進一步的攻擊,例如網路間諜行動。
一種入侵網站伺服器的常見方法就是在上面植入 Webshell。這類惡意工具可經由漏洞或檔案上傳功能,植入到一台對外連網的公開伺服器上。伺服器一旦被安裝了惡意的 Webshell,就等於提供了一個入口讓駭客從遠端執行指令,包括:安裝惡意程式、發動其他攻擊、竊取資料,或是將伺服器當成跳板來攻擊網路上的其他電腦。
我們在這起事件當中觀察到的攻擊過程如下:
突破防線:駭客將 Webshell 檔案上傳到伺服器,隨後,再由它透過 Internet Information Services (IIS) 的工作單元 (w3wp.exe) 來執行指令。我們發現了較早之前上傳的 Webshell,但駭客當時並未直接進行他們的惡意活動。由於記錄檔不夠完整,因此我們無法找出這些檔案是如何上傳的。
執行:這些檔案都是經由 IIS 的工作單元來植入系統,並使用 cmd.exe 來加以執行。
常駐:駭客會建立一個本機系統管理員帳號,雖然該帳號在事件發生期間並未用到,但有證據顯示如果駭客沒有被逮到的話,應該後面就會用到。除此之外,駭客還植入了一個疑似通道軟體的檔案 (lcx5qm.jpg) 來讓駭客從外部 IP 透過遠端桌面協定 (RDP) 存取該系統。
權限提升:這些指令都是在 w3wp.exe 執行個體內執行,它擁有與處理程序同樣的權限。此外,還會建立一個本機系統管理員帳號,用來執行需要管理員權限的動作。一個名為「zxin.jpg」的工具被植入系統,並使用「C:\Windows\system32\svchost.exe -k netsvcs -p -s seclogon」這道指令來執行,以便提升其權限。
躲避防禦:駭客植入了多個副檔名為「.jpg」的二進位檔案,應該是為了讓它們看起來像正常檔案。
搜尋:駭客使用了 Windows 內建的工具 (如:set、reg.exe、whoami) 來蒐集主機的相關資訊。
幕後操縱 (CC):我們在其中一個被執行的檔案中偵測到可能為 CC 伺服器的證據:「lcx5qm.jpg」執行時的參數包含了 45[.]154[.]12 [.]246 這個 IP 位址。駭客還植入了另一個工具「fff.txt」,這是一個反向代理器 (reverse proxy) 工具,它會對外建立連線至 111[.]223[.]247[.]193。
MXDR 案例 2:透過 VPN 入侵進行橫向移動
所謂 VPN 帳號入侵,是指駭客經由網路釣魚、漏洞攻擊或強度不足的登入憑證駭入某個 VPN 帳號。一旦駭入,駭客就能利用被駭的帳號來執行惡意活動,潛入網路內部並避開資安防禦。視該帳號的存取權限而定,駭客有可能橫向移動至高價值的系統,然後植入其他惡意檔案,例如勒索病毒。
我們在這起事件當中觀察到的攻擊過程如下:
突破防線:從較早的活動當中可看到有人從某個工作站經由 VPN IP 登入,此工作站的名稱符合該環境的主機命名規則,這一點或許有助於駭客潛入而不立刻引起懷疑。
執行:根據觀察,駭客在多台主機上執行了「Anydesk.exe」這個第三方遠端桌面應用程式,並使用了「net.exe」這個 Windows 內建的網路管理工具。
常駐:駭客將 AnyDesk 植入到環境內,然後建立一些使用者帳號。除了 AnyDesk 之外,一些被駭客入侵的帳號也被加入到「Remote Desktop Users」(遠端桌面使用者) 群組中。這是為了讓駭客透過遠端桌面存取該環境。
權限提升:我們看到駭客使用「net」指令在該環境內建立新的使用者帳號。
Trend Micro Deep Discovery Inspector (DDI) 也偵測到 Impacket 工具套件中的 SECRETSDUMP 和 WMIEXECPY 兩個類別的網路活動,這些活動通常用來蒐集本機及網域帳號的密碼雜湊碼,用來提升在環境內的存取權限。此外,我們也在主機上觀察到駭客曾試圖攻擊 CVE-2020-1472 漏洞 (也就是 Zerologon 權限提升漏洞),但並未成功。
躲避防禦:駭客會利用一些正常的工具 (如 anydesk.exe) 來強化他們在環境內的立足點,同時也會將工具植入「programdata」和「systemtest」兩個目錄中來偽裝成合法工具。
蒐集登入憑證:還有一些配合 Impacket 的 SECRETSDUMP 和 WMIEXECPY 來蒐集本機和網域帳號密碼雜湊碼的活動。
搜尋:駭客使用了 netapp.exe 工具(netscan.exe 的複本) 來搜尋環境中的遠端系統,而 DDI 的記錄檔也可看到一些針對連接埠 80、139、443 和 445 的掃描活動。
橫向移動:駭客會使用被駭入的帳號並經由 RDP 來移動至其他端點裝置。此外,也會用 WMIExec 執行遠端指令。
幕後操縱 (CC):駭客有可能使用 Anydesk.exe 在受駭主機上與 CC 伺服器建立連線,藉此掌控受駭環境。
主要攻擊模式與重點:防範採用多層式備援策略的威脅
在這兩起事件當中,企業的一個主要痛點就是少了應用程式記錄檔 (如 VPN 和 IIS 記錄檔)。這些記錄檔非常重要,因為它們有助於了解駭客的入侵方式,以便能提供更準確的資安建議。此外,定期的資安稽核也有助於發掘駭客備援機制的一些徵兆,例如:未經授權的遠端存取,或異常的通道 (tunneling) 活動。
這兩起事件的數位鑑識分析與事件回應 (DFIR) 分析,都揭露了駭客如何適應環境並常駐在網路內部。這提醒了我們,光是將某個入口堵住是不夠的,企業應確實檢查記錄檔,這聽起來很簡單,但有時卻經常被忽略。
此外,一套主動的網路資安策略也應制定完整的事件回應計畫。比方說,發現處理程序有異常行為 (例如網站伺服器啟動 cmd.exe) 或偵測到非預期的 VPN 登入,都是駭客入侵的早期跡象。主動式 DFIR 不僅有助於遏止資安事件發生並從中復原,更提供可化為行動的情報來強化防禦。及早攔截這些威脅,對於防止最壞的情況發生至關重要,例如,我們可以從類似的攻擊當中看到駭客經由 Webshell 植入勒索病毒。在另一起事件中,駭客在未經授權的情況下存取了公開暴露的 RDP 主機並短暫停留之後,便馬上植入勒索病毒。
資安考量與建議
建置多層式資安防護、擬定詳細的事件回應計畫、員工教育訓練,這些缺一不可。DFIR 的分析洞見有助於擬定這些策略,並提升企業的準備度以防範持續演變的威脅。
針對 Webshell 威脅:
確實做好輸入檢查與清理。要防範經由程式碼注入的 Webshell 攻擊,您的網站應用程式應確實做好輸入檢查與清理。設定輸入欄位只接受特定的字元、資料格式或數值範圍,藉此過濾掉任何有潛在危險的程式碼。藉由伺服器端檢查來攔截駭客可能試圖注入的惡意腳本或指令。此外,也導入安全的程式碼撰寫習慣以及安全的函式庫或框架,來防範跨網站腳本 (XSS)、SQL 資料隱碼攻擊 (SQL Injection) 以及其他形式的注入攻擊。記住,光靠用戶端檢查是不夠的,因為駭客很容易繞過這些檢查。
將網路分段以限制橫向移動。將網站伺服器與內部網路隔離,可減少它與內部敏感資產的互動,防止駭客在入侵之後橫向移動。使用防火牆與存取控管清單 (ACL) 來強制貫徹網站伺服器與內部網路之間的嚴格通訊規則。除此之外,還可採用入侵偵測系統 (IDS) 或入侵防護系統 (IPS) 來監控這些網段之間的流量,以偵測及回應那些可能意味著有駭客入侵的異常活動。
隨時保持網站應用程式更新。定期對 IIS 伺服器、網站應用程式,以及第三方擴充元件或模組套用資安修補與更新。老舊的軟體是 Webshell 攻擊最常見的管道之一,因為駭客經常攻擊已知的漏洞。建立一套例行的修補管理流程來確保迅速套用資安修補。萬一無法立即修補,請考慮採用虛擬修補解決方案來暫時防範已知的漏洞攻擊。
限制 IIS 伺服器的存取與權限。實施嚴格的存取控管來限制誰可以修改檔案、目錄和伺服器設定。遵守最低授權原則,只授予使用者和應用程式必要的權限。例如,確定 IIS 工作單元的處理程序 (w3wp.exe) 沒有權限寫入可能被用來植入 Webshell 的目錄。使用適當的檔案系統權限與角色導向的存取控管來限制修改功能。定期檢查並稽核這些權限,藉此找出並修正可能被駭客利用的組態設定錯誤。
使用網站應用程式防火牆 (WAF) 來過濾流量。 在網站伺服器前方部署一套 WAF 來監控並過濾內送的 HTTP/S 流量。WAF 可封鎖已知的攻擊模式 (例如試圖上傳 Webshell) 並過濾惡意請求。使用針對企業的應用程式和伺服器環境量身打造的 WAF 規則。啟用記錄檔以及可疑活動的警報設定,例如:重複嘗試上傳檔案或可能含有惡意程式碼的請求。這樣的主動監控可在威脅升高之前迅速偵測並加以防範。
停用不必要的服務和連接埠。定期檢查網站伺服器組態設定,將任何應用程式用不到的服務、功能或連接埠停用。例如,假使應用程式用不到 FTP ,那就停用 IIS 伺服器上的 FTP 服務。減少執行中的服務數量來縮小攻擊面,進而減少駭客的入侵點。此外,定期掃描伺服器是否有對外開放的連接埠,來發掘及關閉那些不必要、並且可能遭駭客用來植入 Webshell 的連接埠。
針對 VPN 入侵:
立即重設登入憑證。如果懷疑 VPN 帳號已遭駭客入侵,請立即重設登入憑證。強制貫徹嚴格的密碼政策。可以的話,讓使用者在存取 VPN 時得通過多重認證 (MFA) 來增加一道額外的防護,如此可降低駭客盜用登入憑證進入系統的風險。
監控不尋常的帳號活動。持續監控 VPN 的使用情況,看看是否有遭到入侵的跡象。留意一些危險訊號,例如:從非預期的地點登入、在正常上班時間之外存取,或者嘗試登入失敗多次。留意突然被人使用或下載的一些可能被駭客用來做壞事的合法工具,例如遠端存取軟體或網路搜尋工具。蒐集並分析有助於發掘可疑行為的資料,以便進一步調查。
針對網路資安防禦強化:
強制實施最低授權原則並強化系統。永遠只授予應用程式運作所需的最低權限。權限過大的角色,例如讓應用程式擁有管理員權限,將為駭客開啟大門,讓他們利用這些角色來取得更大的系統存取權限。在強化系統時,應包括停用不必要的服務、禁止存取敏感的系統檔案、保護系統登錄設定,以及確保適當的檔案權限,以防止未經授權的修改。定期稽核權限與組態設定來發掘並修正潛在的漏洞。
啟用定期稽核與詳細的記錄檔。啟用網站伺服器的所有記錄檔來完整監控伺服器的互動,包括:HTTP 存取記錄檔、事件記錄檔以及錯誤記錄檔。請在 IIS 伺服器上開啟一些設定來擷取關鍵的資料,例如:IP 位址、請求標頭、時間戳記,以及 HTTP 狀態碼。將記錄檔傳送至 MXDR 解決方案來集中保存,以便進行監控和交叉關聯分析。確保記錄檔被安全地保存,並制定適當的保存政策以方便事件後續分析。定期稽核這些記錄檔來發掘異常行為,包括:重複登入失敗、未經授權的關鍵目錄存取,或是異常的 HTTP 方法。
實施一套嚴格的修補管理流程。確保所有應用程式 (包括 IIS 伺服器、網站框架和擴充元件) 都隨時保持更新,並套用最新的安全修補。加入一個測試階段來確認修補更新不會帶來新的漏洞或中斷服務。如果無法立即修補,請考慮採用虛擬修補來暫時阻擋已知的漏洞攻擊。隨時盤點伺服器上執行的所有軟體版本,以便迅速發掘需要修補的元件。
實施嚴格的認證。採用 MFA 來確保 IIS 伺服器的存取安全,避免使用太弱或預設的密碼,並嚴格落實密碼政策。設定帳號鎖定機制來防範暴力破解攻擊,限制唯有已知、受信任的 IP 位址或網段能存取伺服器。監控認證記錄檔內是否出現異常登入活動的跡象,比方說:從非預期位置登入,或試圖繞過 MFA。
趨勢科技提供了完整的防護來防範這些威脅。Trend Cloud One ™ 提供了應用程式控管、一致性監控以及入侵防護,能防止未經授權的應用程式執行、監控系統一致性來偵測非預期的變更,以及偵測可疑的網路流量來保護伺服器環境。這些防護層對防範 Webshell 和 VPN 入侵所帶來的風險至關重要。
Trend Vision One 威脅情報
要隨時掌握持續演變的威脅,趨勢科技客戶可從 Trend Micro Vision One 內部取得各種情報與威脅洞見。Threat Insights 可幫助客戶在威脅發生之前便提前掌握,並對新興的威脅預先做好準備。這些洞見提供了有關駭客、惡意活動及駭客技巧的完整資訊。善用這些情報,客戶就能主動採取步驟來保護自己的環境、防範風險,並且有效回應威脅。
Trend Vision One Intelligence Reports 應用程式 [IoC 掃描]
了解 Webshell 與 VPN 威脅的初期階段:MXDR 分析
Trend Vision One Threat Insights 應用程式
追蹤查詢
Trend Vision One 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
潛在的 Webshell 建立:
processFilePath:w3wp.exe AND eventSubId: 101 AND objectFilePath:("*.aspx" OR "*.asp")
除此之外,Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標資料
如需完整的入侵指標 (IoC) 清單,請至此處。