网络安全公司Palo Alto Networks旗下Unit 42威胁研究团队首先观察到黑客组织“熊猫使者（Emissary Panda）”利用CVE-2019-0604漏洞在两个中东国家政府机构的SharePoint服务器上安装了多个webshell（以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，可视为一种网页后门）。

借助已安装的webshell，该组织通过使用Mimikatz（由法国人Gentil Kiwi编写的一款系统密码获取神器，能够直接从 lsass.exe 进程中获取Windows处于active状态账号的明文密码）实现了凭证转储，且配合使用渗透工具Impacket实现了对处于同一网络下的其他系统的入侵。

2019年9月19日，Unit 42团队在另一个中东国家政府机构的webshell中发现了相同版本的Mimikatz，但并没有找到足够的证据来将这起活动与Emissary Panda联系起来，因为攻击者此次使用的webshell是AntSword，而不是Emissary Panda惯用的China Chopper。但有一点是可以肯定的，那就是攻击者同样使用了CVE-2019-0604漏洞作为发起入侵的突破口。

时间已过去数月，Unit 42团队在2020年1月10日使用Shodan搜索了受CVE-2019-0604漏洞影响的SharePoint版本号。数据显示，仍有至少28881台SharePoint服务器没有修复此漏洞。也就是说，潜在攻击者可以随时利用公开可用的漏洞利用脚本轻松攻破这些服务器。

为避免广大SharePoint用户遭受潜在攻击，Unit 42团队于近日公开发布了他们针对2019年9月攻击活动的调查结果，包括漏洞利用过程以及C2流量。

CVE-2019-0604漏洞利用

根据Unit 42团队的描述，他们是在2019年9月10日观察到了如下URL的HTTP POST请求，并很快确认这是针对SharePoint服务器漏洞CVE-2019-0604的利用尝试：

/_layouts/15/picker.aspx

很快，这一入站请求在SharePoint服务器上执行了如下命令：

C:\Windows\System32\cmd.exe /c echo PCVAIFBhZ2UgTGFuZ3VhZ2U9IkMjIiBEZWJ1Zz0idHJ1ZSIgVHJhY2U9ImZhbHNlIiAlPg[..snip..] > c:\programdata\cmd.txt & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\14\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\c.aspx

Unit 42团队表示，如上命令使用了echo命令来将大量的base64编码数据写入一个名为“cmd.txt”的文本文件。然后，该命令使用了certutil应用程序将cmd.txt文件中的base64编码数据转换为分别位于三个不同的SharePoint相关文件夹中的c.aspx。

整个命令的结果是将Awen asp.net webshell保存到SharePoint服务器，以便攻击者能够进一步与入侵服务器进行交互。

Awen webshell

在漏洞利用成功的40秒后，第一个HTTP GET请求被发送到了Awen webshell。Awen webshell的功能很简单，就是设置命令提示符应用程序的路径和以及运行命令。

图1.由攻击者安装的Awen webshell

根据Unit 42团队的说法，Awen webshell会运行各种命令，以收集有关入侵服务器的各种信息，如用户帐户、文件和文件夹、远程系统和网络配置等。

随后，一个名为“bitreeview.aspx”的webshell将被存到SharePoint服务器安装路径下的一个文件夹中。

分析表明，bitreeview.aspx是AntSword webshell的一个变种，它与China Chopper webshell具有一定的相似性。

AntSword webshell

AntSword是一个模块化的webshell，可通过一个名为“AntSword Shell Manager”的客户端应用程序进行控制。

攻击者可以通过AntSword webshell在受感染服务器上运行各种命令，如下所示是此webshell的初始命令列表：

whoami query user nltest /domain_Trusts ping -n 1 <redacted domain name> ipconfig /all net group /do net group Exchange Servers /do ing -n 1 <redacted hostname of Exchange server> ping -n 1 <redacted hostname of Exchange server> query user

AntSword Shell Manager具有一个文件管理界面，该界面提供了类似于Windows资源管理器的导航功能，允许攻击者向受感染服务器上载文件或从中下载文件。

图2. AntSword Shell Manager的文件管理界面

AntSword和China Chopper的相似性

如上所述，AntSword和China Chopper具有一定的相似性。首先，它们都是模块化的webshell，攻击者可以使用客户端应用程序而不是Web浏览器与它们进行交互。其次，它们都默认使用相同的编码器。

Unit 42团队表示，AntSword和China Chopper之间的主要区别涉及两个客户端应用程序发送到Webshell来运行命令和其他活动的代码和参数。例如，China Chopper 在通过Web Shell运行命令时使用的是两个分别名为“z1”和“z2”的参数，而AntSword在每次执行时使用的是四个随机生成的名称。

图3.向China Chopper webshell发送HTTP POST请求以运行一个命令

图4.向AntSword webshell发送HTTP POST请求以运行一个命令

除参数不同之外，被发送到webshell的代码也不同。

图5.AntSword和China Chopper在Webshell上运行命令时所使用的代码之间的对比

结语

尽管Unit 42团队无法确认发生在2019年的两起攻击活动都是由黑客组织Emissary Panda发起的，但这里有一个不争的事实，那就是攻击者仍在利用CVE-2019-0604漏洞来入侵目标服务器。因此，我们建议大家应及时安装官方发布的漏洞补丁，以避免遭受不必要的损失。