記一次IIS-Raid后門應(yīng)急經(jīng)歷

　　聲明：該公眾號(hào)大部分文章來(lái)自作者日常學(xué)習(xí)筆記，也有部分文章是經(jīng)過(guò)作者授權(quán)和其他公眾號(hào)白名單轉(zhuǎn)載，未經(jīng)授權(quán)，嚴(yán)禁轉(zhuǎn)載，如需轉(zhuǎn)載，聯(lián)系開(kāi)白。請(qǐng)勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測(cè)試，如因此產(chǎn)生的一切不良后果與文章作者和本公眾號(hào)無(wú)關(guān)。

　　這篇文章已經(jīng)過(guò)某師傅授權(quán)發(fā)布在該公眾號(hào)，非常詳細(xì)的一篇應(yīng)急文，感謝這位師傅的分享！

　　0x01 緣由

　　晚上9點(diǎn)學(xué)校打電話說(shuō)官網(wǎng)服務(wù)器可能被入侵了，第一時(shí)間登錄服務(wù)器發(fā)現(xiàn)被裝了一堆 360 的產(chǎn)品，360安全衛(wèi)士，360安全殺毒 等等，之后又重新安裝上了卡巴斯基卸載了360

　　0x02 應(yīng)急

　　服務(wù)器環(huán)境：

　　因?yàn)榉?wù)器是雙網(wǎng)卡，分別通校園資產(chǎn)內(nèi)網(wǎng)和外網(wǎng)教育網(wǎng)，第一時(shí)間登錄服務(wù)器把內(nèi)網(wǎng)網(wǎng)卡禁用掉（外網(wǎng)登錄），目的是為了防止入侵者做橫向攻擊，然后對(duì)關(guān)鍵文件做備份，修改RDP密碼，數(shù)據(jù)庫(kù)密碼，殺毒，拍快照方便后期取證等手段...

　　卡巴斯基掃描發(fā)現(xiàn)存在一些以 .cs 結(jié)尾的.net惡意文件（這個(gè) .cs 文件后面會(huì)詳細(xì)說(shuō)到）和木馬文件 autohbas.dll，之后卡巴斯基直接把a(bǔ)utohbas.dll給刪了，結(jié)果服務(wù)器產(chǎn)生了503錯(cuò)誤

　　IS重啟和服務(wù)器重啟都無(wú)法解決503，因?yàn)槭菍W(xué)校官網(wǎng)服務(wù)器很多發(fā)文都在上面，503之后就有一堆老師打電話反應(yīng)，迫于無(wú)奈，只能先把dll恢復(fù)，然后重新啟動(dòng)IIS讓官網(wǎng)先運(yùn)行著

　　dll無(wú)法移動(dòng)和刪除，看了一下dll被 IIS 調(diào)用，初步猜測(cè)是IIS后門

　　這里用火絨劍看了一下IIS進(jìn)程的調(diào)用dll，dll沒(méi)有簽名和描述很可疑

　　文件屬性

　　卡巴斯基KSN信譽(yù)掃描對(duì)比

　　打開(kāi) edge 瀏覽器發(fā)現(xiàn)，在 19點(diǎn) 左右入侵者搜索360安全衛(wèi)士并且下載了安裝包進(jìn)行了安裝，一開(kāi)始不了解為什么會(huì)這樣做，如果要搞隱蔽為什么要有這么大的動(dòng)靜？

　　檢查了一下用戶發(fā)現(xiàn)存在 vmadmin 并且還啟用了 Guest

　　PS: 開(kāi)始以為vmadmin是虛擬機(jī)管理用戶一直沒(méi)去排查，過(guò)了幾個(gè)小時(shí)才反應(yīng)過(guò)來(lái) :(

　　Guest被啟用，因?yàn)楹髞?lái)登錄了一下，實(shí)際上次登陸時(shí)間是 2022/5/28 18:50，后來(lái)做的復(fù)盤截的圖

　　把sam文件dump下來(lái)拉到本地做解密，因?yàn)槭?016的操作系統(tǒng)，只能提取NTML Hash做解密，然后看一下入侵者設(shè)置的密碼規(guī)則能不能獲取到關(guān)鍵信息，然而最后解不開(kāi)

　　用D盾做了一下檢測(cè)發(fā)現(xiàn)vmadmin是克隆的administrator賬號(hào)，且DLL是被惡意注冊(cè)到了IIS的 Modules

　　掃了一下Web服務(wù)下的文件，找到了幾個(gè) Webshell ，發(fā)現(xiàn) 1月份 就已經(jīng)有了，可見(jiàn)埋伏時(shí)間之長(zhǎng)

　　因?yàn)閐ll不能直接刪除，所以先把webshell和創(chuàng)建的用戶給刪除掉，之后把這些webshell和dll做一下樣本提取

　　后來(lái)百度搜索了一下，發(fā)現(xiàn)后門手法是 IIS-Raid，將惡意dll注冊(cè)到IIS服務(wù)端，之后可直接獲取服務(wù)器權(quán)限

　　用list modules 找到惡意的modules，之后用命令刪除已經(jīng)注冊(cè)的模塊即可，因后來(lái)截的圖，之前已經(jīng)卸載過(guò)

　　刪除掉模塊后接著隔離刪除dll，之后重啟服務(wù)器和IIS服務(wù)器，發(fā)現(xiàn)官網(wǎng)不會(huì)在報(bào)503且一切功能正常使用，再用卡巴斯基和D盾做了一次全盤查殺都一切正常

　　再接著進(jìn)行一些常規(guī)檢查，檢查完之后發(fā)現(xiàn)沒(méi)什么異常，至此應(yīng)急告一段落

　　0x03 排查

　　應(yīng)急之后接著排查問(wèn)題出在哪里，入侵者怎么黑進(jìn)來(lái)的，做一個(gè)溯源。

　　因服務(wù)器做了反向代理，只對(duì)外網(wǎng)開(kāi)放了80、53、3389服務(wù)，猜測(cè)入侵的手法：

　　先說(shuō)一下DNS漏洞基本不太可能，就算是0day也不可能打到我們頭上來(lái)，純純浪費(fèi)，RDP爆破的話，服務(wù)器密碼包含 字符數(shù)字大小寫(xiě) 也不太可能，爆破成本量太高，也更不至于，于是大概率是從Web下手

　　先看了下卡巴斯基的Web攻擊日志，看到攻擊者一直在用代理進(jìn)行端口掃描，接著不管是什么中間件和開(kāi)發(fā)環(huán)境，就拿一些exp亂打，目測(cè)是PoC集成工具做的掃描，但是有一條IP引起了注意

　　放到了微步看了一下

　　猜測(cè)這個(gè)可能是攻擊者在做掃描的時(shí)候代理池?cái)嗔艘幌聦?dǎo)致真實(shí)IP發(fā)生泄露，不過(guò)并不確定

　　接著又看了一下卡巴的殺毒日志，發(fā)現(xiàn)刪掉了很多 autohbas.dll 也就是那個(gè)IIS后門，之后的 svchost.exe 猜測(cè)是遠(yuǎn)控或者其他的后門，發(fā)現(xiàn)在19點(diǎn)之后，也就是安裝了360之后就沒(méi)有日志，通過(guò)這里可以知道，攻擊者安裝360的目的是為了替換掉卡巴斯基的安全防護(hù)，因?yàn)槿绻胪顺隹ò退够蚪Y(jié)束掉進(jìn)程都需要提供一個(gè)密碼，而這個(gè)密碼攻擊者沒(méi)有拿到，就只能利用360來(lái)接管卡巴斯基

　　Waf的日志，不明白為什么沒(méi)阻斷，看來(lái)規(guī)則需要加強(qiáng)了

　　看了一下dll的導(dǎo)出函數(shù)和內(nèi)存，注冊(cè)到IIS模塊的函數(shù)

　　看到這些函數(shù)也就大概能知道這個(gè)dll做了什么

　　看了一下系統(tǒng)日志，發(fā)現(xiàn)在20點(diǎn)做了日志清理（沒(méi)有日志審計(jì)），估計(jì)后門留好準(zhǔn)備跑路了

　　接著看了一下4624的日志，發(fā)現(xiàn)IP也是代理

　　根據(jù)webshell創(chuàng)建的時(shí)間找了一下IIS的日志，結(jié)果5.27那天的日志被刪了

　　只能去看01.16的日志

　　這幾個(gè)IP放到微步和QAX情報(bào)社區(qū)發(fā)現(xiàn)都是來(lái)自泰國(guó)的傀儡機(jī)，也去掃了端口只開(kāi)了3389和22

　　之后接著去排查webshell是怎么傳上來(lái)的，因?yàn)閟hell的所在 文件夾目錄 為后臺(tái)上傳圖片所在的目錄，初步猜測(cè)是上傳圖片的地方過(guò)濾不嚴(yán)格導(dǎo)致任意文件上傳，但是我測(cè)了幾個(gè)小時(shí)的任意文件上傳發(fā)現(xiàn)webshell根本無(wú)法上傳成功，且無(wú)法得知上傳的路徑反饋，加上我有服務(wù)器權(quán)限可以配合著D盾做文件監(jiān)控，后來(lái)決定先上傳正常的圖片文件看看上傳路徑，發(fā)現(xiàn)可以上傳成功，但是上傳的路徑卻是在 \photo\product\ 下，不是在webshell的路徑\photo\temp\ 下，哪怕是正常的圖片也無(wú)法傳到這個(gè)目錄來(lái)，不知道代碼對(duì)于圖片的處理邏輯，且后臺(tái)和前臺(tái)的一些圖片也被上傳到了目錄，百思不得其解，很沒(méi)有道理

　　后來(lái)靈機(jī)一動(dòng)，猜測(cè)temp目錄下可能是損壞的圖片，于是burp抓包故意把圖片的內(nèi)容做一些刪除和增加，結(jié)果最后還是沒(méi)有上傳到webshell目錄下，這個(gè)時(shí)候就很絕望，明明是通過(guò)官網(wǎng)后臺(tái)上傳上來(lái)的（webshell文件命名規(guī)則和上傳圖片命名一樣），但是一直沒(méi)有找到上傳點(diǎn)，這個(gè)時(shí)候就猜想可能是0day，但是這個(gè)程序沒(méi)有第二套都是單獨(dú)開(kāi)發(fā)的，入侵者應(yīng)該也拿不到源碼，正當(dāng)一頭霧水的時(shí)候，我聯(lián)系了網(wǎng)站的開(kāi)發(fā)商，對(duì)話如下：

　　我一直用的谷歌，谷歌表示不背這個(gè)鍋 :(，接著讓朋友白菜哥拿360瀏覽器去測(cè)了一下，結(jié)果不出所料

　　結(jié)果顯而易見(jiàn)，至此漏洞點(diǎn)基本排查完成

　　正以為后門已經(jīng)全部檢查完成之后，過(guò)了一會(huì)，D盾的文件檢測(cè)檢測(cè)到了Webshell的創(chuàng)建，看了一下Waf日志確定Webshell不是從官網(wǎng)后臺(tái)傳上來(lái)的，卡巴斯基掃了下，發(fā)現(xiàn)是 .cs 文件，因?yàn)樯匣乜ò退够苯幼隽藙h除沒(méi)去看源文件，這次準(zhǔn)備把文件先隔離到沙箱拖出來(lái)看一下，直接上圖

　　App_Web_x7curnr-.0.cs

　　可以看到有個(gè)叫door()的后門函數(shù)，且此Webshell的特征是 哥斯拉，因?yàn)楦缢估瓕?shí)例化的類名是 LY，很明顯用的哥斯拉生成的馬子

　　猜測(cè)攻擊手法：

　　1）官網(wǎng)文件夾下的 App_Code 文件夾可以包含 .vb、.cs 等擴(kuò)展名的源代碼文件，在運(yùn)行時(shí)將會(huì)自動(dòng)對(duì)這些代碼進(jìn)行編譯。而 123.asmx.e8a2beba.compiled 是編譯完成的輸出文件，123.asmx就是生成的文件名。攻擊者只需要將.cs源代碼文件放到 App_Code目錄下，網(wǎng)站每運(yùn)行一次就會(huì)生成一個(gè)名叫123.asmx的Webshell在/js/目錄下

　　2）官網(wǎng)文件夾下 Bin 文件夾中存放著已經(jīng)編譯的程序集，并且在Web 應(yīng)用程序任意處的其他代碼會(huì) 自動(dòng)引用該文件夾，典型的示例是為自定義類編譯好的代碼，可以將編譯后的程序集復(fù)制到Web應(yīng)用程序的 Bin文件夾中，這樣所有頁(yè)都可以使用這個(gè)類，Bin文件夾中的程序集無(wú)需注冊(cè)，只要.dll 文件存在于 Bin 文件夾中，.NET 就可以識(shí)別它。如果更改了 .dll 文件，并將它的新版本寫(xiě)入到了 Bin 文件夾中，則 .NET 會(huì)檢測(cè)到更新，并對(duì)隨后的新頁(yè)請(qǐng)求使用新版本的 .dll 文件

　　3）.NET 內(nèi)存馬，參考文章：

　　0x04 復(fù)盤

　　首次攻擊發(fā)生在2022年的1月16日，那個(gè)時(shí)候的官網(wǎng)后臺(tái)應(yīng)該是有弱口令，攻擊者通過(guò)掃描端口和Web目錄找到Web后臺(tái)，期間還進(jìn)行過(guò)一系列的SQL注入測(cè)試，接著通過(guò)爆破進(jìn)入到后臺(tái)進(jìn)行任意文件上傳拿到shell，在拿到shell后繼續(xù)留了一個(gè)aspx的webshell后門，接著用某種方法提權(quán)到system權(quán)限創(chuàng)建了用戶vmadmin并且克隆了administrator的權(quán)限，接著以防萬(wàn)一激活了Guest用戶，緊接著通過(guò)3389連接到administrator服務(wù)器桌面，發(fā)現(xiàn)有卡巴斯基，嘗試退出結(jié)束發(fā)現(xiàn)無(wú)果后，隔了一短時(shí)間后通過(guò)瀏覽器下載360來(lái)接管卡巴斯基的防護(hù)，替換掉卡巴斯基后，上傳了PChunter和dll后門，通過(guò)IIS-Raid手法將dll注冊(cè)成IIS后門，然后接著留下.NET后門通過(guò).NET機(jī)制來(lái)做到權(quán)限維持，最后上傳了自己寄生蟲(chóng)程序，給自己菠菜和某些廣告帶流量和關(guān)鍵詞，至此被學(xué)校相關(guān)人員發(fā)現(xiàn)，導(dǎo)致痕跡沒(méi)有清理干凈；最終的入侵目的是為了搞寄生蟲(chóng)和關(guān)鍵詞排名，入侵者后來(lái)留的這些后門基本都被卡巴斯基查殺，但是寄生蟲(chóng)程序已經(jīng)運(yùn)行且已經(jīng)被百度蜘蛛爬取到，只能第一時(shí)間去做快照和關(guān)鍵詞舉報(bào)

　　0x05 加固

　　排查官網(wǎng)后臺(tái)所有用戶做弱口令檢查，服務(wù)器RDP遠(yuǎn)程登陸設(shè)置白名單，Waf加強(qiáng)規(guī)則

　　針對(duì)任意文件上傳做修復(fù)，可以看到之前的代碼沒(méi)有對(duì)文件后綴名做處理，只是原封不動(dòng)的照搬上傳文件的后綴

　　0x06 附錄

　　IIS-Raid：

　　.Net DLL后門：

　　IOC：

　　關(guān) 注 有 禮關(guān)注公眾號(hào)回復(fù)“9527”可以領(lǐng)取一套HTB靶場(chǎng)文檔和視頻，“1208”個(gè)人常用高效爆破字典，“0221”2020年酒仙橋文章打包，“2191”瀟湘信安文章打包，“1212”殺軟對(duì)比源碼+數(shù)據(jù)源，“0421”Windows提權(quán)工具包。

　　還在等什么？趕緊點(diǎn)擊下方名片關(guān)注學(xué)習(xí)吧！

　　推 薦 閱 讀