使用 Cobalt Strike 对 Apache 服务器进行加密劫持

安实验室安全应急响应中心 (ASEC) 正在监控针对存在未修补漏洞或管理不善的脆弱 Web 服务器的攻击。由于 Web 服务器对外开放，目的是向所有可用用户提供 Web 服务，因此这些服务器成为威胁行为者的主要攻击目标。

支持 Windows 环境的 Web 服务主要有 Internet 信息服务 (IIS)、Apache、Apache Tomcat、Nginx 等。Apache Web 服务通常用于 Linux 环境，但由于它也支持 Windows，因此有时也用于在 Windows 环境中提供服务。

最近，ASEC 发现了一个攻击活动，其中 XMRig CoinMiner 安装在运行 Apache 的 Windows Web 服务器上。威胁行为者使用 Cobalt Strike 来控制受感染的系统。Cobalt Strike 是一种商业渗透测试工具，最近在包括 APT 和勒索软件在内的大多数攻击中被用作控制内部系统的媒介。

图 1. Cobalt Strike 由 Apache Web 服务（httpd.exe）安装

1、针对 Apache Web 服务器的攻击

目标系统都是安装了旧版 Apache Web 服务和 PHP 的环境。虽然尚未确定具体的攻击方法，但很可能针对未打补丁的 Apache Web 服务器进行各种漏洞攻击。还有安装 PHP Web Shell 恶意软件的日志。

图 2. 攻击中使用的 PHP Web Shell 恶意软件

威胁行为者通过已安装的Webshell或漏洞攻击的方式上传并执行恶意软件，攻击目标是Apache Web服务器httpd.exe进程，从而执行创建、运行恶意软件等恶意行为。

请注意，为 Web 服务进程创建文件和执行进程等行为并不总是用于恶意目的。这些行为可能发生在合法的更新过程中，也可能发生在管理员处理 Web 服务器管理任务时。因此，V3 等反恶意软件产品无法完美阻止此类行为。

AhnLab EDR（Endpoint Detection and Response）是韩国目前唯一基于行为引擎的下一代威胁检测和响应解决方案，为终端区域提供强大的威胁监控、分析和响应能力。AhnLab EDR 持续收集各类可疑行为信息，让用户从检测、分析和响应的角度准确识别威胁。通过此过程，可以进行全面分析，找出原因，做出适当的应对，并建立预防流程。

以下屏幕截图显示了 EDR 检测到的威胁行为者攻击 Apache Web 服务并安装 Cobalt Strike。跟踪显示 Apache Web 服务器进程 httpd.exe 正在执行 Cobalt Strike。

图 3. Apache Web 服务器中创建的可疑文件的痕迹（EDR）

图 4. Apache Web 服务器中执行的可疑文件的痕迹（EDR）

Cobalt Strike 在攻击中的应用

信标是 Cobalt Strike 的代理，充当后门。Cobalt Strike 提供各种形式的信标。根据方法，信标可分为阶段信标和无阶段信标。

Stager 方法使用下载器恶意软件，从外部源下载信标并在内存区域执行。由于此方法实际上不包含信标，因此其大小较小，并且需要额外的步骤来下载信标。另一方面，使用 Stageless 方法创建的 Cobalt Strike 包含信标，并且文件大小超过某个阈值。

图 5. Stager 恶意软件正在下载加密信标

为了逃避文件检测，威胁行为者混淆了所使用的恶意软件，甚至使用了 Golang 或 PyInstaller。攻击中使用的大多数恶意软件都使用无阶段方法。然而，使用 PyInstaller 开发的恶意软件是一种使用阶段方法（下载 Cobalt Strike 并在内存区域执行）的下载器恶意软件。

图 7. Cobalt Strike 设置数据

攻击中使用的 Cobalt Strike 实例有 Go 和 PyInstaller 等各种形式，但所有情况下，C&C 服务器都使用相同的 IP 地址。AhnLab 过去曾将 Cobalt Strike 攻击中使用的 C&C 地址检测为恶意 URL，AhnLab EDR 中也可以检查到。以下是将连接到恶意 URL 的行为检测为威胁的证据数据。它显示了有关恶意 URL 地址和连接到该 URL 的进程的信息以及传输的 payload 数据。

图 8. 连接到 Cobalt Strike 的恶意 URL（EDR）

安装其他恶意软件

在尝试安装 Cobalt Strike 后，还尝试安装 Gh0st RAT。这可能是因为安全产品导致 Cobalt Strike 无法正常运行。通过这些尝试获得对受感染系统的控制权后，最终安装了挖掘门罗币的 CoinMiner。

图 9. XMRig 通信包

由于除了安装远程控制恶意软件和 CoinMiner 的日志外没有发现其他日志，因此认为威胁行为者的最终目标是利用管理不善的网络服务器资源来挖掘门罗币并获取利润。

结论

近期，有攻击涉及在装有 Apache Web 服务的 Windows 服务器上安装 Cobalt Strike。从日志中可以推断，威胁行为者攻击了管理不善或存在未修补漏洞的 Web 服务器。

Cobalt Strike 是一款商用渗透测试工具，最近在包括 APT 和勒索软件在内的大多数攻击中，它被用作控制内部系统的媒介。AhnLab 产品配备了基于进程内存的检测方法和基于行为的检测功能，可以对抗从 Cobalt Strike 的初始入侵阶段开始在内部传播的 Beacon 后门。

图 10. Cobalt Strike 的内存检测日志

管理员必须检查 Web 服务器中的文件上传漏洞，以提前阻止 Web Shell 上传的初始渗透路径。此外，必须定期更改密码，并必须采取访问控制措施，以应对使用被盗帐户凭据的横向移动攻击。此外，应将 V3 更新到最新版本，以防止恶意软件感染。

文件检测

– Backdoor/Win.CobaltStrike.C5538818 (2023.11.08.00)– Trojan/Win.Generic.R605627 (2023.09.15.01)– Malware/Win64.RL_Backdoor.R363496 (2021.01.18.05)– Downloader/Win.CobaltStrike.C5538917 (2023.11.09.01)– Downloader/Win.CobaltStrike.C5538829 (2023.11.08.00)– Backdoor/Win.Gh0stRAT.C4976986 (2023.06.04.01)– Malware/Win32.RL_Generic.R356011 (2020.11.22.01)– CoinMiner/Win.XMRig.C5539322 (2023.11.09.01)– WebShell/PHP.Generic.S1912 (2022.09.27.02)– WebShell/PHP.Small.S1690 (2021.10.26.02)

行为检测

– InitialAccess/DETECT.Event.M11450– Connection/EDR.Behavior.M2650

内存检测

– 后门/Win.CobaltStrike.XM79– 下载程序/Win.CobaltStrike.XM83

IOC

MD5

– 719253ddd9c49a5599b4c8582703c2fa：CobaltStrike 信标（3JONXp.exe）– 594365ee18025eb9c518bb266b64f3d2：CobaltStrike 信标（3JONXp-Signed.exe）– d4015f101a53555f6016f2f52cc203c3：CobaltStrike 信标（256.exe）– 1842271f3dbb1c73701d8c6ebb3f8638：CobaltStrike 信标（256-Signed.exe）– 36064bd60be19bdd4e4d1a4a60951c5f：CobaltStrike Stager（test.exe）– 5949d13548291566efff20f03b10455c：CobaltStrike Stager（artifact_x64.exe）– c9e9ef2c2e465d3a5e1bfbd2f32ce5cd：CobaltStrike Stager（artifact_x64-signed.vmp.exe）– 85e191a1fff9f6d09fb46807fd2dea37：Gh0st RAT（1.exe）– b269dd0b89d404d5ad20851e0d5c322e：Gh0st RAT（server.exe）– 205c12fabb38b13c42b947e80dc3d53a：XMRig（svchost.exe）– 6b837fafaa1fbc2a4ddb35a748f4c11e：PHP WebShell（helper.php）– f9d6a75875991086e1fb5985fc239df3：PHP WebShell（s.php）

C&C URL

- hxxp://121.135.44[.]49:808/ptj: CobaltStrike Beacon- hxxp://121.135.44[.]49:808/updates.rss: CobaltStrike Beacon- hxxp://121.135.44[.]49:808/ga.js: CobaltStrike Beacon- 202.30.19[.]218:521: Gh0st RAT- gd.one188[.]one:520: Gh0st RAT

下载网址

- hxxp://121.135.44[.]49:808/a4vR: CobaltStrike Stager- hxxp://www.beita[.]site/api/2:2053: CobaltStrike Stager