信息化觀察網(wǎng)

當(dāng)?shù)貢r(shí)間9月15日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一份惡意軟件分析報(bào)告（MAR），該報(bào)告詳細(xì)介紹了19個(gè)惡意文件的細(xì)節(jié)，其中包含有關(guān)伊朗黑客使用的Web Shell的技術(shù)細(xì)節(jié)。

Web Shell是一種用典型的Web開發(fā)編程語言（例如ASP，PHP，JSP）編寫的代碼，攻擊者將其植入Web服務(wù)器上以獲得遠(yuǎn)程訪問和代碼執(zhí)行。Web Shell讓攻擊者可以傳遞和執(zhí)行JavaScript代碼，這些代碼可用于枚舉目錄，執(zhí)行有效負(fù)載及泄露數(shù)據(jù)。

根據(jù)CISA的報(bào)告，來自匿名APT組織的伊朗黑客正在利用幾個(gè)已知的Web Shell，對(duì)美國各地的IT，政府，醫(yī)療，金融和保險(xiǎn)組織進(jìn)行攻擊。他們利用了Pulse Secure VPN，Citrix ADC以及F5’s BIG-IP ADC產(chǎn)品中的漏洞進(jìn)行攻擊，使用的惡意軟件包括ChunkyTuna，Tiny和China Chopper。

幾周前，有研究人員透露，這個(gè)伊朗APT組織名為“Pioneer Kitten”，又名Fox Kitten或Parisite。該組織現(xiàn)在正試圖通過將其已入侵的某些網(wǎng)絡(luò)的訪問權(quán)出售給其他黑客來獲利。過去的幾個(gè)月，他們一直在攻擊VPN服務(wù)器。

此外，CISA專家也分析了程序數(shù)據(jù)（PDB）文件和二進(jìn)制文件，這些文件已被識(shí)別為開源項(xiàng)目“FRP”的編譯版本。FRP可以使攻擊者通過隧道，將各種類型的連接建立到目標(biāo)網(wǎng)絡(luò)范圍之外的遠(yuǎn)程操作員。該報(bào)告還分析了作為KeeThief開源項(xiàng)目一部分的PowerShell腳本，該腳本可讓攻擊者訪問Microsoft“KeePass”密碼管理軟件存儲(chǔ)的加密密碼憑據(jù)。

攻擊者利用了這些惡意工具來維護(hù)持久的遠(yuǎn)程訪問，并從受害者的網(wǎng)絡(luò)中泄漏數(shù)據(jù)。他們可能已經(jīng)使用了“FRP”實(shí)用程序來建立出站遠(yuǎn)程桌面協(xié)議（RDP）會(huì)話的隧道，以支持從防火墻外對(duì)網(wǎng)絡(luò)進(jìn)行持久訪問。

該報(bào)告還詳細(xì)介紹了另外7個(gè)文件，其中包含用作惡意Web Shell的惡意超文本預(yù)處理器（PHP）代碼，被標(biāo)識(shí)為ChunkyTuna和Tiny Web Shell。這兩個(gè)Web Shell均可接受遠(yuǎn)程命令和數(shù)據(jù)，所以操作者可以遠(yuǎn)程控制受感染的系統(tǒng)。