阿富汗的一个未指定的政府实体成为了先前未记录的名为HrServ的 Web shell 的目标，这被怀疑是高级持续威胁 (APT) 攻击。

卡巴斯基安全研究员 Mert Degirmenci在本周发布的分析中表示，Web shell 是一个名为“hrserv.dll”的动态链接库 (DLL)，具有“复杂的功能，例如用于客户端通信和内存执行的自定义编码方法” 。

这家俄罗斯网络安全公司表示，根据这些工件的编译时间戳，它发现了可以追溯到 2021 年初的恶意软件变种。

Web shell 通常是恶意工具，可对受感染的服务器提供远程控制。一旦上传，它就允许攻击者执行一系列利用后活动，包括数据盗窃、服务器监控和网络内的横向推进。

攻击链涉及PAExec远程管理工具，这是PsExec的替代品，用作启动板来创建伪装成 Microsoft 更新（“MicrosoftsUpdate”）的计划任务，随后将其配置为执行 Windows 批处理脚本（“JKNLA.蝙蝠”）。

批处理脚本接受 DLL 文件（“hrserv.dll”）的绝对路径作为参数，然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。

Degirmenci 表示：“根据 HTTP 请求中的类型和信息，会激活特定功能。”他补充道，“hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务。”

这很可能是攻击者试图将这些恶意请求混合到网络流量中，从而使区分恶意活动和良性事件变得更加困难。

这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数，其值（范围从 0 到 7）决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。

如果POST请求中cp的值等于“6”，则会触发代码执行，解析编码数据并将其复制到内存中，然后创建一个新线程，进程进入睡眠状态。

Web shell 还能够激活内存中隐秘的“多功能植入物”的执行，该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。

目前尚不清楚该 Web shell 背后的威胁发起者归属，但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。

“值得注意的是，网络 shell 和内存植入针对特定条件使用不同的字符串。”Degirmenci 总结道。“此外，记忆植入物还具有精心制作的帮助信息。”

“考虑到这些因素，该恶意软件的特征更符合出于经济动机的恶意活动。然而，其操作方法与 APT 行为有相似之处。”、

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/j0ZyDl74epEwNzBi3DvROQ

封面来源于网络，如有侵权请联系删除