威胁组织 Weaver Ant 渗透电信供应商的网络超过四年

Sygnia 研究人员观察到多个警报，这些警报显示来自未知服务器的帐户重新启用攻击者使用的帐户。进一步分析发现内部服务器上有一个web shell，已被入侵多年。威胁组织使用 web shell 进行持久性、远程代码执行和通过隧道进行横向移动。

专家检测到多个 Web Shell，包括一个名为“INMemory”的未知 Web Shell。Web Shell 可实现对受感染 Web 服务器的远程访问和控制，从而实现持续访问、命令执行和数据泄露。

攻击者使用的加密 China Chopper 变体采用 AES 加密来逃避 Web 应用程序防火墙 (WAF) 的检测。它部署在使用 ASPX 和 PHP 的面向外部的服务器上，作为网络渗透的入口点。这种加密使攻击者能够绕过自动检测机制，使取证分析变得困难。

两种关键的逃避技术阻碍了调查。

首先，攻击者在有效载荷中使用了特定关键字，例如“密码”和“密钥”，而 WAF 通常会在日志中编辑这些关键字，从而掩盖恶意内容。

其次，传输的有效载荷通常超出日志记录机制的字符限制，导致数据被截断，使得完整的取证重建变得困难。这些策略确保了对受感染系统的隐秘、持续访问。

INMemory Web Shell 允许攻击者在内存中执行恶意模块，从而避免基于磁盘的检测。它将硬编码的 GZipped Base64 字符串解码为 PE 文件“eval.dll”，并动态执行。

Web Shell 使用 Base64 编码的字符串混淆代码，并通过 SHA256 哈希比较验证 HTTP 请求标头。如果找到匹配项，它会在执行有效负载之前使用“JScriptEvaluate”以 Base64 和 UTF-8 对其进行编码，利用 JScript 库进行动态执行。该技术通过阻止取证分析和基于签名的检测来增强隐蔽性，使攻击者能够在受感染的环境中不被发现地持续存在。

一个值得注意的工具是递归 HTTP 隧道，它支持通过 Web Shell 隧道进行横向移动。此方法利用受感染的 Web 服务器作为代理来中继 HTTP/S 流量，无需部署其他工具即可访问内部资源。通过动态构建和执行 cURL 命令，隧道机制允许攻击者秘密浏览分段网络。

由于通信发生在预期的 Web 流量上，因此它与合法活动混合在一起，使得检测变得困难，同时促进了受感染环境中的命令和控制。

Weaver Ant 部署了多个有效载荷以逃避检测、保持持久性并扩大受感染网络内的访问。他们修补了 Windows 事件跟踪 (ETW) 以隐藏事件日志，并通过修改“amsi.dll”绕过反恶意软件扫描接口 (AMSI)，从而允许恶意 PowerShell 执行。

他们还通过“System.Management.Automation.dll”运行 PowerShell 命令，而无需使用 PowerShell.exe，从而避免检测。对于横向移动，他们利用带有 NTLM 哈希的 SMB，部署额外的 Web Shell 并从 IIS 配置文件中提取凭据。

作为侦察工作的一部分，Weaver Ant 对同一 Active Directory (AD) 林中的多个域控制器执行了各种‘Invoke-SharpView’命令。这些命令包括：‘Get-DomainUserEvent’、‘Get-DomainSubnet’、‘Get-DomainUser’、‘Get-NetSession’等。

技术报告：

https://www.sygnia.co/threat-reports-and-advisories/weaver-ant-tracking-a-china-nexus-cyber-espionage-operation/

新闻链接：

https://securityaffairs.com/175800/apt/chinese-apt-weaver-ant-infiltrated-a-telco-for-over-four-years.html

讲述普通人能听懂的安全故事