2019年4月，网络安全公司Palo Alto Networks旗下Unit 42威胁研究团队首先观察到黑客组织“熊猫使者（Emissary Panda）”利用CVE-2019-0604漏洞在两个中东国家政府机构的SharePoint服务器上安装了多个webshell（以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，可视为一种网页后门）。

借助已安装的webshel??l，该组织通过使用Mimikatz（由法国人Gentil Kiwi编写的一款系统密码获取神器，能够直接从 lsass.exe 进程中获取Windows处于active状态账号的明文密码）实现了凭证转储，且配合使用渗透工具Impacket实现了对处于同一网络下的其他系统的入侵。

2019年9月19日，Unit 42团队在另一个中东国家政府机构的webshel??l中发现了相同版本的Mimikatz，但并没有找到足够的证据来将这起活动与Emissary Panda联系起来，因为攻击者此次使用的webshell是AntSword，而不是Emissary Panda惯用的China Chopper。但有一点是可以肯定的，那就是攻击者同样使用了CVE-2019-0604漏洞作为发起入侵的突破口。

时间已过去数月，Unit 42团队在2020年1月10日使用Shodan搜索了受CVE-2019-0604漏洞影响的SharePoint版本号。数据显示，仍有至少28881台SharePoint服务器没有修复此漏洞。也就是说，潜在攻击者可以随时利用公开可用的漏洞利用脚本轻松攻破这些服务器。

为避免广大SharePoint用户遭受潜在攻击，Unit 42团队于近日公开发布了他们针对2019年9月攻击活动的调查结果，包括漏洞利用过程以及C2流量。

CVE-2019-0604漏洞利用

根据Unit 42团队的描述，他们是在2019年9月10日观察到了如下URL的HTTP POST请求，并很快确认这是针对SharePoint服务器漏洞CVE-2019-0604的利用尝试：

/_layouts/15/picker.aspx

很快，这一入站请求在SharePoint服务器上执行了如下命令：

C:\Windows\System32\cmd.exe /c echo PCVAIFBhZ2UgTGFuZ3VhZ2U9IkMjIiBEZWJ1Zz0idHJ1ZSIgVHJhY2U9ImZhbHNlIiAlPg[..snip..] > c:\programdata\cmd.txt & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\14\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\TEMPLATE\LAYOUTS\c.aspx & certutil -decode c:\programdata\cmd.txt C:\Program Files\Common Files\microsoft shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\c.aspx

Unit 42团队表示，如上命令使用了echo命令来将大量的base64编码数据写入一个名为“cmd.txt”的文本文件。然后，该命令使用了certutil应用程序将cmd.txt文件中的base64编码数据转换为分别位于三个不同的SharePoint相关文件夹中的c.aspx。

整个命令的结果是将Awen asp.net webshel??l保存到SharePoint服务器，以便攻击者能够进一步与入侵服务器进行交互。

Awen webshel??l

在漏洞利用成功的40秒后，第一个HTTP GET请求被发送到了Awen webshel??l。Awen webshel??l的功能很简单，就是设置命令提示符应用程序的路径和以及运行命令。

根据Unit 42团队的说法，Awen webshel??l会运行各种命令，以收集有关入侵服务器的各种信息，如用户帐户、文件和文件夹、远程系统和网络配置等。

随后，一个名为“bitreeview.aspx”的webshell将被存到SharePoint服务器安装路径下的一个文件夹中。

分析表明，bitreeview.aspx是AntSword webshel??l的一个变种，它与China Chopper webshel??l具有一定的相似性。

AntSword webshel??l

AntSword是一个模块化的webshel??l，可通过一个名为“AntSword Shell Manager”的客户端应用程序进行控制。

攻击者可以通过AntSword webshel??l在受感染服务器上运行各种命令，如下所示是此webshel??l的初始命令列表：

• whoami
• query user
• nltest /domain_Trusts
• ping -n 1 <redacted domain name>
• ipconfig /all
• net group /do
• net group Exchange Servers /do
• ing -n 1 <redacted hostname of Exchange server>
• ping -n 1 <redacted hostname of Exchange server>
• query user

AntSword Shell Manager具有一个文件管理界面，该界面提供了类似于Windows资源管理器的导航功能，允许攻击者向受感染服务器上载文件或从中下载文件。

AntSword和China Chopper的相似性

如上所述，AntSword和China Chopper具有一定的相似性。首先，它们都是模块化的webshell，攻击者可以使用客户端应用程序而不是Web浏览器与它们进行交互。其次，它们都默认使用相同的编码器。

Unit 42团队表示，AntSword和China Chopper之间的主要区别涉及两个客户端应用程序发送到Webshel??l来运行命令和其他活动的代码和参数。例如，China Chopper 在通过Web Shell运行命令时使用的是两个分别名为“z1”和“z2”的参数，而AntSword在每次执行时使用的是四个随机生成的名称。

除参数不同之外，被发送到webshel??l的代码也不同。

结语

尽管Unit 42团队无法确认发生在2019年的两起攻击活动都是由黑客组织Emissary Panda发起的，但这里有一个不争的事实，那就是攻击者仍在利用CVE-2019-0604漏洞来入侵目标服务器。因此，我们建议大家应及时安装官方发布的漏洞补丁，以避免遭受不必要的损失。