两个基于 PowerShell 的新后门盯上微软 Exchange 服务器

该攻击被指和 xHunt 黑客组织有关，后者首次现身于2018年且曾多次攻击科威特政府机构以及航运和交通组织机构。

然而，研究人员根据2019年8月22日或之前的攻击，基于和该泄漏事件相关的任务创建时间戳，发现攻击者已更新其工具武器库。

攻击使用的是两个新发现的后门：TriFive 和 Snugy（基于此前出现的 PowerShell 即 CASHY200）。

研究人员指出，这两个后门安装在科威特政府机构的受陷 Exchange 服务器zhon给，隐藏 C2 通信信道。

研究人员表示，目前尚不清楚攻击者如何获得对 Exchange 服务器的访问权限。他们首次在9月份发现这些攻击活动，当时收到通知称攻击者攻陷了科威特某组织机构。这台 Exchange服务器中含有可疑命令，通过 IIS 进程 w32p.exe 执行。

调查完该服务器后，研究人员表示，“我们确实发现了由攻击者在所收集日志日期之前创建的计划任务，它们都会运行恶意的 PowerShell 脚本。我们虽然无法证实攻击者使用了其中一个 PowerShell 脚本安装 Web shell，但我们认为攻击者已经在日志之前的日期访问了该服务器。“

上述提到的两个计划任务是“ResolutionHosts” 和 “ResolutionsHosts”，均在c:\Windows\System32\Tasks\Microsoft\Windows\WDI 文件夹中创建。

研究人员认为攻击者使用这两种计划任务当作持久方法，因为攻击者反复运行这两个 PowerShell 脚本（其中一个每隔30分钟运行一次，另外一个每隔5分钟运行一次）。这两个任务执行的命令试图运行两个后门：sqlwow64.ps1 和 OfficeIntegrator.ps1。

研究人员指出，“这些脚本分开存储在系统上的文件夹中，这样做可能是为了避免后门被发现和删除。”

第一个后门 TriFive 通过登录到合法用户收件箱并从已删邮件文件夹中的邮件草稿箱中获取 PowerShell 脚本的方式，提供对 Exchange 服务器的后门访问权限。攻击者曾利用这种技术和恶意 C2 服务器进行通信。

TriFive 样本使用了目标组织机构中一个合法的账户名称和凭据，这表明攻击者已在安装 TriFive 后门前窃取了账户凭据。

首先，为向该后门发送命令，攻击者需要登录到同样的合法邮件账户，并创建主题为 “555” 的邮件草稿，包括加密和 base64 编码格式中的命令。在后门端，PowerShell 脚本之后登录到受陷 Exchange 服务器上的合法邮件账户，并检查 “已删除”文件家中是否存在主题为 “555” 的邮件。该脚本将通过 PowerShell 执行在邮件中找到的命令。最后，他们把已编码的加密文本设置为邮件草稿的消息主题，再次将邮件以“555s” 的主题保存在“已删除邮件”文件夹中，将命令结果发送回给攻击者。

另外一个后门 Snugy 利用 DNS 隧道信道在受陷服务器上运行命令。DNS 隧道可导致黑客使用 DNS 协议交换数据，从而静默地提取数据或和外部恶意服务器建立通信信道。

攻击者利用 Snugy 后门获取该系统的主机名、运行命令并提取结果，供攻击者提取通过 ping 从受陷服务器发送的请求获取域名查询。研究人员表示，“基于从子域名中提取的数据，我们能够判断出攻击者运行 ipconfig/all 和 dir。遗憾的是我们只有一些请求子集，因此提取的数据是截断的，这说明攻击者可能运行其它一些我们没有发现的命令。”

研究人员发现 Snugy 和此前发现的 CASHY200 后门之间存在多个代码重叠之处，包括它们利用类似函数将字符串转换为进位表示法并生成由随机大小写字符组成的字符串；以及使用 IP 地址第一个八位的命令句柄，判断要运行的命令以及获取主机名和运行命令。

研究人员表示，xHunt 攻击活动还在持续，位于科威特的组织机构正在遭受攻击。从最新发现的后门来看，该组织在已经能够访问组织机构受陷 Exchange 服务器的情况下，开始使用基于邮件的通信信道。