保定xHunt的新攻击手段分析：通过BumbleBee Webshell发起攻击（下）

攻击者如何通过BumbleBee发起攻击

关于BumbleBee Webshell活动，IIS日志中的重要信息有：

HTTP请求的时间戳；

攻击者的IP地址；

HTTP请求中的用户代理提供了攻击者的操作系统和浏览器版本；

URL参数中的ClientId是Exchange服务器通过服务器端cookie提供的客户端的标识符；

根据研究人员收集到的日志，附录中的表1提供了有关攻击者使用BumbleBee webshell的活动时间表，该时间表始于2020年2月1日。在创建此时间轴时，研究人员注意到攻击者与BumbleBee交互时表现出一些有趣的可观察性和行为，包括：

1.攻击者使用的所有IP地址(除了一个IP地址以外)都与专用Internet访问提供的VPN相关联，而另一个IP地址属于FalcoVPN。

2.攻击者在不同位置的VPN服务器之间切换以更改IP地址，并且似乎来自不同的，特别是比利时、德国、爱尔兰、意大利、卢森堡、荷兰、波兰、葡萄牙、瑞典和英国。

3.当与BumbleBee交互时，攻击者使用了操作系统和浏览器的组合，特别是Windows 10，Windows 8.1或Linux系统上的FireFox或Chrome。

通过BumbleBee执行的命令

如前所述，科威特组织的受攻击Exchange服务器不会在IIS日志中记录POST数据，因此研究人员无法提取在BumbleBee WebShell上运行的命令。但是，研究人员使用了一样的时间戳来将IIS日志中的活动与Cortex XDR日志中看到的命令提示符活动相关联，以确定在服务器上执行的命令。不幸的是，直到2020年9月16日，研究人员才对BumbleBee上执行的命令具有可见性，当时Cortex XDR已安装在受感染的Exchange服务器上，以响应可疑活动。研究人员还能够确定在两个其他科威特组织之一的内部IIS Web服务器上托管的BumbleBee Webshell上运行的命令。

根据Cortex XDR日志，攻击者在2020年9月16日花费了3小时37分钟，通过受感染的Exchange服务器上安装的BumbleBee Webshell运行命令。附录中的表2显示了所有命令和能描述所执行活动的MITER ATT＆CK技术标识符。这些命令显示攻击者进行了如下操作：

1.使用ping和net group命令以及PowerShell（T1059.001）执行网络发现（T1018），以查找网络上的其他计算机。

2.使用whoami和quser命令执行帐户发现（T1087）；

3.使用W32tm和time命令确定系统时间（T1124）；

4.使用Plink（RTQ.exe）创建到远程主机的SSH隧道（T1572）；

5.通过SSH隧道使用RDP（T1021.001）来控制受感染的计算机；

6.通过安装共享文件夹，将Plink（RTQ.exe）复制到远程系统并使用Windows Management Instrumentation（WMI）（T1047）横向移动（T1570）到另一个系统，以创建用于RDP访问的SSH隧道。

7.在发出命令后，通过删除（T1070.004）BumbleBee来删除其存在的证据；

附录中表2中列出的命令还显示了使用Plink（RTQ.exe）来创建到外部IP地址192.119.110[.]194的SSH隧道的攻击者，如以下命令所示：

echo