針對企業內部維運的工程師來說,伺服器安全性往往在於對舊有系統的管理。近期安全研究機構 ReliaQuest 發現了一個名為 OP-512 的威脅集群,其攻擊目標明確指向 Microsoft IIS(Internet Information Services,微軟的網頁伺服器軟體)伺服器。這個組織展現出高度的專業化,不僅使用自定義的工具,更在隱匿行蹤上採取了相當精密的手段。
這類攻擊的核心在於部署 Web Shell。對初學者來說,Web Shell 可以理解為攻擊者上傳到伺服器上的惡意腳本頁面,一旦部署成功,攻擊者就能透過瀏覽器或 API 遠端控制伺服器,執行指令、讀取檔案或作為進一步滲透內網的跳板。
OP-512 的攻擊手法之所以值得關注,是因為他們開發了一套完整的 Web Shell 框架,而非使用市面上常見的公開工具。這套框架包含三種不同的 Web Shell,分別提供檔案管理、身分驗證後的指令執行以及自動化回報機制。其中最關鍵的特性是其自動化回報功能,當 Web Shell 成功部署後,會立即透過 DNS 查詢或 HTTP 請求將受害伺服器的位置回傳給攻擊者,讓攻擊者能快速進行大規模的集中管理。
為了規避安全設備的偵測,OP-512 採取了 Timestomping 技術。這是一種操縱檔案時間戳記的手段,旨在欺騙數位鑑識分析人員。具體做法是掃描 Web Shell 所在目錄及其子資料夾中所有檔案的修改時間,計算出一個中位數,然後將惡意檔案的建立與修改時間修改為該數值。這樣在安全人員檢查檔案清單時,惡意檔案會看起來像是很久以前就存在於系統中的正常檔案,而非近期才被植入。
在實際的攻擊案例中,該組織鎖定了執行 Windows Server 2016 且搭載已停止支援的 .NET Framework 4.0 的舊版 IIS 伺服器。攻擊者利用 w3wp.exe(IIS 的工作進程)將 Web Shell 丟入應用程式的上傳目錄。在取得初步權限後,他們使用了 Potato Suite(一套專門用於 Windows 權限提升的工具集)試圖將權限提升至 SYSTEM 等級,也就是系統最高管理權限,隨後執行 whoami /priv 等指令來確認權限狀態。
從整體趨勢來看,這已是近期第四個針對 IIS 伺服器的中國關聯威脅組織。這顯示出一個明確的風險趨勢:許多企業仍在使用過時、未更新的舊版軟體,這類 Legacy System(遺留系統)成為了攻擊者最偏好的切入點。
對於維運工程師而言,最危險的點在於 OP-512 不使用通用工具。許多基於特徵碼(Signature-based)的防禦系統是根據已知惡意軟體的特徵來攔截,但由於 OP-512 的框架是量身定制且每次部署都具有唯一性,傳統的防禦手段很難有效偵測。
要對抗這類威脅,除了最基礎的更新作業系統與框架版本外,更應關注異常的進程行為。例如,監控 w3wp.exe 是否在不尋常的時間點寫入檔案到上傳目錄,或者監控伺服器是否發出異常的 DNS 請求到未知域名。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。