2020年9月，Palo Alto Networks 的網(wǎng)絡(luò)安全研究人員開始對科威特一家組織的Microsoft Exchange服務(wù)器進(jìn)行調(diào)查，該組織在持續(xù)的xHunt攻擊中受到攻擊組織的持續(xù)攻擊。研究人員在這項(xiàng)調(diào)查中發(fā)現(xiàn)了兩個新的后門，分別稱為TriFive和Snugy，以及一個名為BumbleBee的新Webshell漏洞，研究人員將在此文中對其進(jìn)行詳細(xì)說明。

　　攻擊者使用BumbleBee WebShell在受感染的Exchange服務(wù)器上上傳文件或從受感染的Exchange服務(wù)器上下載文件，但更重要的是，運(yùn)行攻擊者用來發(fā)現(xiàn)其他系統(tǒng)并橫向移動到網(wǎng)絡(luò)上其他服務(wù)器的命令。研究人員發(fā)現(xiàn)BumbleBee托管在internal Internet Information Services （IIS） Web服務(wù)器上，該Web服務(wù)器與受感染的Exchange服務(wù)器位于同一網(wǎng)絡(luò)上，還托管在其他兩個科威特組織的兩個內(nèi)部IIS Web服務(wù)器上，研究人員目前仍然不知道用于攻擊Exchange服務(wù)器的初始感染媒介。

　　研究人員觀察到，該攻擊者直接與科威特組織受感染的Exchange服務(wù)器上的BumbleBee Webshell交互，因?yàn)榭梢詮腎nternet上訪問該服務(wù)器。當(dāng)直接訪問可訪問Internet的服務(wù)器上的BumbleBee時，攻擊者使用了Private Internet Access提供的虛擬專用網(wǎng)絡(luò)（VPN）。攻擊者會經(jīng)常在不同的VPN服務(wù)器之間切換，以更改服務(wù)器將存儲在日志中的活動的外部IP地址。具體來說，攻擊者將IP地址更改為不同的國家，包括比利時、德國、愛爾蘭、意大利、盧森堡、荷蘭、波蘭、葡萄牙、瑞典和英國。研究人員認(rèn)為，這是在逃避檢測并使惡意活動的分析更加困難的嘗試。研究人員還觀察到攻擊者在不同的操作系統(tǒng)和瀏覽器之間切換，尤其是在Windows 10，Windows 8.1或Linux系統(tǒng)上的Mozilla Firefox或Google Chrome。這表明攻擊者可以訪問多個系統(tǒng)，并使用它來使活動分析更加困難，或者涉及多個攻擊者，他們對操作系統(tǒng)和瀏覽器的偏好不同。

　　除了使用VPN外，攻擊者還使用SSH隧道與托管在內(nèi)部IIS Web服務(wù)器上的BumbleBee Webshell進(jìn)行交互，而這三個科威特組織都無法直接通過Internet進(jìn)行訪問。通過BumbleBee在服務(wù)器上執(zhí)行的命令表明，攻擊者使用PuTTY鏈接（Plink）工具創(chuàng)建SSH隧道來訪問受感染網(wǎng)絡(luò)內(nèi)部的服務(wù)。研究人員觀察到攻擊者使用Plink為TCP端口3389創(chuàng)建SSH隧道，這表明攻擊者使用隧道使用遠(yuǎn)程桌面協(xié)議（RDP）訪問系統(tǒng)。研究人員還觀察到攻擊者在為TCP端口80創(chuàng)建到內(nèi)部服務(wù)器的SSH隧道，這表明攻擊者使用隧道來訪問內(nèi)部IIS Web服務(wù)器。研究人員相信攻擊者可以訪問這些其他內(nèi)部IIS Web服務(wù)器，以利用內(nèi)部Web應(yīng)用程序中的文件上傳功能來安裝BumbleBee，作為橫向移動的一種方法。

　　BumbleBee Webshell

　　參與xHunt活動的攻擊組織入侵了科威特組織的Exchange服務(wù)器，并安裝了一個研究人員稱為BumbleBee的WebShell。研究人員將Webshell稱為BumbleBee（大黃蜂），是因?yàn)閃ebshell的配色方案包括白色、黑色和黃色，如圖1所示，BumbleBee非常簡單。它允許攻擊者執(zhí)行命令，以及向服務(wù)器上傳文件和從服務(wù)器上傳文件。BumbleBee有趣的部分是，它要求攻擊者提供一個密碼來查看Webshell，并提供第二個密碼才能與Webshell交互。

　　xHunt 攻擊者使用的BumbleBee Webshell在Microsoft Exchange Server上運(yùn)行命令

　　要查看BumbleBee Webshell，攻擊者必須在名為parameter的URL參數(shù)中提供密碼。否則，用于與BumbleBee進(jìn)行交互的表單將不會顯示在瀏覽器中。為了檢查提供的密碼以進(jìn)行身份驗(yàn)證，Webshell程序?qū)⑸蓞?shù)值的MD5哈希值，并使用硬編碼的MD5哈希值進(jìn)行檢查，在受感染的Exchange服務(wù)器上托管的BumbleBee示例中，研究人員發(fā)現(xiàn)該密碼的MD5哈希值為

　　1B2F81BD2D39E60F1E1AD05DD3BF9F56字符串fkeYMvKUQlA5asR。一旦顯示，BumbleBee將為攻擊者提供三個主要功能：

　　1.通過cmd / c執(zhí)行命令；

　　2.將文件上傳到服務(wù)器的指定文件夾（默認(rèn)為c:\windows\temp）；

　　3.從服務(wù)器下載文件；

　　要執(zhí)行這些功能中的任何一個，攻擊者必須提供第二個密碼（在圖1中帶有“password”標(biāo)簽的字段中）。BumbleBee Webshell將生成密碼的MD5哈希值，并在執(zhí)行功能之前使用硬編碼的MD5哈希值對其進(jìn)行檢查。在執(zhí)行攻擊者所需的操作之前檢查的MD5哈希值為36252C6C2F616C5664A54058F33EF463，但很遺憾，研究人員無法確定此密碼的字符串形式。盡管研究人員不知道使用BumbleBee功能所需的密碼，但是研究人員能夠通過分析來自受感染的Exchange服務(wù)器的日志來確定通過webshell執(zhí)行的命令，后面部分中將詳細(xì)討論。

　　在進(jìn)行分析時，研究人員發(fā)現(xiàn)了另一個BumbleBee Webshell，其中包含不同的MD5哈希值以查看Webshell和執(zhí)行命令，分別是A2B4D934D394B54672EA10CA8A65C198和28D968F26028D956E6F1199092A1C408。雖然可以確定A2B4D934D394B54672EA10CA8A65C198的哈希值是密碼TshuYoOARg3fndI，但研究人員無法確定第二個哈希值的字符串。該Webshell托管在同一科威特組織的內(nèi)部IIS Web服務(wù)器上，該原始Web站點(diǎn)在受感染的Exchange服務(wù)器上找到了原始BumbleBee。研究人員還發(fā)現(xiàn)該特定的BumbleBee示例駐留在科威特其他兩個組織的內(nèi)部IIS Web服務(wù)器上。研究人員能夠從兩個科威特組織之一的內(nèi)部IIS Web服務(wù)器收集終端日志，以確定通過BumbleBee執(zhí)行的命令。

　　與受攻擊的Microsoft Exchange Server的交互

　　為了確定攻擊者與科威特組織的受感染Exchange服務(wù)器有關(guān)的活動，研究人員從Exchange服務(wù)器收集了IIS服務(wù)器日志以及Cortex XDR為系統(tǒng)生成的日志。在IIS日志中，研究人員能夠觀察到當(dāng)攻擊者通過受感染的Exchange服務(wù)器上安裝的BumbleBee WebShell發(fā)布命令時生成的HTTP POST請求。使用IIS日志，研究人員還可以觀察到攻擊者通過Outlook Web App登錄到受感染的電子郵件帳戶，并在登錄后執(zhí)行特定的活動，例如查看電子郵件和在受感染的網(wǎng)絡(luò)上搜索其他電子郵件帳戶。

　　不幸的是，受感染的Exchange服務(wù)器無法記錄POST請求中的數(shù)據(jù)，因此盡管研究人員知道從這些日志中發(fā)出了多少命令，但研究人員不知道攻擊者執(zhí)行的實(shí)際命令。另外，從2020年1月31日到2020年9月16日，研究人員只能收集34天的日志，其中不包括來自受感染Exchange服務(wù)器的所有IIS日志。由于沒有日志記錄，研究人員無法完整了解活動情況，甚至無法了解攻擊者與受感染的Exchange服務(wù)器進(jìn)行交互的開始情況。例如，IIS日志顯示了2020年2月1日的第一個BumbleBee Webshell活動，但它們還顯示了TriFive后門程序從2020年1月31日上午開始每五分鐘登錄一個受感染的電子郵件帳戶。TriFive信標(biāo)每五分鐘顯示一次，它是通過研究人員先前與該事件有關(guān)的后門博客中討論的計(jì)劃任務(wù)重復(fù)運(yùn)行的，這還表明該攻擊者已經(jīng)可以在研究人員收集的日志顯示之前持續(xù)訪問受感染的Exchange服務(wù)器。

　　使用研究人員能夠從受感染的Exchange服務(wù)器收集的IIS日志，研究人員可以匯總攻擊者活動的時間表，包括與BumbleBee Webshell的交互。2020年2月1日至7月27日，攻擊者使用受感染的憑據(jù)通過Outlook Web App登錄到Exchange服務(wù)器。攻擊者使用Outlook Web App中的搜索功能來搜索電子郵件地址，包括搜索受感染科威特組織的域名以獲取電子郵件地址的完整列表以及特定的關(guān)鍵字（例如服務(wù)臺）。研究人員還看到攻擊者在受感染帳戶的收件箱中查看電子郵件，特別是來自服務(wù)提供商和技術(shù)供應(yīng)商的電子郵件。此外，攻擊者還查看了來自Symantec產(chǎn)品和Fortinet的FortiWeb產(chǎn)品的警報(bào)電子郵件。搜索發(fā)往服務(wù)臺的電子郵件并查看安全警報(bào)電子郵件的行為表明，攻擊攻擊者有興趣確定科威特組織是否已意識到惡意活動的存在。