【精選威脅情資】IceApple ：一種新興的 IIS 後脅迫框架

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

本報告所分析之 IceApple 為一個成熟的模組化 Internet Information Server (IIS) 後脅迫 (Post-Exploitation) 框架。該框架以 C# 語言編寫而成，並濫用了許多 .NET 框架的特徵，具有相當豐富的功能，包括從登錄檔中獲取憑證、在微軟的 Outlook Web Access (OWA) 伺服器上登入憑證、偵查系統、竊取資料等。且大多數 IceApple 的活動都發生在記憶體內，難以進行靜態分析，因此追緝難度相當高。

有鑑於 Microsoft Exchange Server 為全球知名度高、使用者眾多的電子信箱伺服器，本報告特挑選 IceApple 作為報告主題分析其危害影響與技術細節，凸顯 .NET 框架被攻擊者濫用的趨勢，並深入剖析 Exchange Server 的安全問題。

分析師觀點

自從 2021 年年初，知名重大漏洞 ProxyLogon 爆發後，Microsoft Exchange Server 已嚴重暴露在漏洞威脅下。然而 Exchange Server 的威脅不僅如此，從本篇報告分析的駭客行動可以看出，攻擊者們非常熟悉 Exchange Server 和 IIS，所有惡意的 DLL 檔案都會被偽裝成 IIS 大量產出的檔案，因此相當難以辨別。但幸運的是，研究人員已找出方式，透過 Windows 事件追蹤 (ETW) 掌握 .NET Assembly.Load 和 interop event，以找到被駭客執行的惡意 Assembly 和函式。這點也顯示了ETW之於偵測 .NET 惡意軟體的重要性。

技術分析

研究人員發現 IceApple 的經過，從 IceApple 觸發告警開始。在此一階段，有一些 .NET Assembly 會被反射性地載入在兩個 Microsoft Exchange servers 上的 MSExchangeOWAAppPool 應用程式集區。這些 Assembly 似乎本應成為 IIS 暫存檔，產生自將Active Server Page Extended (ASPX) 原始檔轉換成 .NET Assembly 以讓 IIS 載入的過程中。然而，這些檔案有以下幾點可疑之處。第一，IIS 和 Exchange Server 並不會反射載入 (reflectively load) 它產出的暫時性 .NET Assembly。其次，這些暫時性 .NET Assembly 的檔名是隨機產生的。不同的伺服器很少會產生相同的檔案名稱。

‍

‍

接下來，也許是透過 web shell 載入的 IceApple 加載程式會接受攻擊者的請求。而這些請求會經過一連串的處理，包含 base64 編碼、AES 加密法、gzip 壓縮以及特製的序列化。

‍

‍

IceApple 的行為包含：獲取 OWA 憑證、以寫死的使用者代理程式發出 HTTP 請求、針對 Active Directory 執行查詢、搜索已安裝網路卡的配置、傾倒儲存在登錄檔金鑰中的憑證、透過一個另外的 HTTP 監聽程式竊取檔案。

每一個模組都會覆寫基礎類別物件的 Equals 函數。而該函數的參數類型為 Object。因此，這個函數會允許 Object 的任何子類別傳入。藉此，加載程式不需要知道任何模組結構、函數和參數，就可以載入 .NET Assembly。

‍

‍

接下來進一步解析 IceApple 的兩個重要模組。一個重要的模組是 IIS module lister，而另一個叫 OWA Credential Logger。IIS module lister 可以存取 System.web Assembly 以提取所有已登錄的 IIS 模組資訊，IIS 請求中的事件。最終，它會輸出結果並將結果傳遞給 OWA Credential Logger。

OWA Credential Logger 一開始會先獲取 HttpApplication 物件以及 System.Web.HttpApplicationFactory 的參照，藉此取得管理所有在 IIS worker instance 處理請求所需的 HttpApplication 物件。此後，它會重演一群 HttpApplication 物件以為每個物件插入一個新的事件處理程式。一旦被登錄的事件處理程式被觸發，它會企圖傾倒使用者名稱和密碼到 C:\\Windows\\Temp\\TS_MSOL1.tmp 中。

‍

‍

‍緩解措施

以下幾種方式可以緩解 IceApple 的威脅：

1. 弱點掃描可以找出潛在、可能被利用的軟體漏洞，好讓人修復、緩解。
2. 網站應用程式防火牆 (WAF) 可以用來限制應用程式的流量，防止駭客的流量接觸應用程式。
3. 定期更新軟體，對暴露在外的應用程式採用修補程式管理方案 (Patch Management)。

參考資料

1. ‍CrowdStrike. “IceApple: A Novel Internet Information Services Post Exploitation Framework” Accessed July 8, 2022.

入侵指標 (Indicator of Compromise, IOCs)

String

• KAJdPY30h1e7jSKpcDUivBkZiGUAH3zL
• 3hu5njdushydf7^ATSD&y3gbhyrbgyusag%^A&Dt
• User Agent value of Microsoft Office/16.0 (Windows NT 10.0; Microsoft Outlook 16.0.4551; Pro)

Registry

• HKLM\SYSTEM\CurrentControlSet\Control\Lsa\JD
• HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Skew1
• HKLM\SYSTEM\CurrentControlSet\Control\Lsa\GBG
• HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Data
• HKLM\SAM\SAM\Domains\Account\F
• HKLM\SAM\SAM\Domains\Account\Users*\V
• HKLM\SECURITY\Cache*
• HKLM\SECURITY\Policy\PolEKList\default
• HKLM\SECURITY\Policy\Secrets*\CurrVal
• HKLM\SECURITY\Policy\Secrets*\OldVal

Filepath

• \ClientAccess\Owa\auth\addrbook.cs
• \ClientAccess\Owa\auth\addrbook.js
• \FrontEnd\HttpProxy\owa\auth\Current\scripts\premium
• addrbook.cs
• \FrontEnd\HttpProxy\owa\auth\Current\scripts\premium
• addrbook.js

SHA1

• 3514c8f0b6992a4b3746d874013789b8bd3e9ff4a44f00f5d076320e6a403136
• b6379b98f0993c652fd0c5907395123cfb14fa30818d3153b7655def8329c4c1
• 517d08ffdb2889e11a86b7a011de385dc43623f80f6fdf43e55b683c08206228
• 3e72696d5618f013cd8fd686c11f9778ac55ce1ca61f5dd6c5b86b917495bde2
• cf9b151e116ee1429d2fcd3553c90d98a73a4d769f976759e60d8113a7d8229c
• 648592597b561c775feb8909148b91bd2e8452ab3b2c1e98ead2c4f9caf2e3ff
• 131c7d2ec3c7dba738466a586aca4bd80af540832b1243ace184918db65ee7e5
• 075a8456f3d74da6f830bcae39990f43e4aef63c0a69ea2f5a5e1eb8ba51b51e
• e199faf72661b7e822da2d02aec59227a2d413d02bd288a3b26e5465d59fda5b
• c5ff6b1b201d6289ab718575d0175b322653b3fe92c4ba046fc6e785f83404ed
• 29fe8f7cdeb8b2a4c0d9e7410cd4cbe1873a22eada4a592b9df6f2ee6c335ff9
• 189dfd287b0ff6b5161a89343fcde57f509dfa99f44277ad6cfb9ccbdfbf436a
• 9c36f62e2f347e709223f38450f8fcd075b273f164219e6fc6db112fdb26db4d
• 2e45ad3689e9b13d40880b142925a4922e77c769c9f2809e702d6a4f5485384a
• 91505feb5369978eecba4c92a07f0aaddbddda238eda207dd08e81a6839750e6
• 16cc7ab162aacb38cd0dbf3ad9a9ba836649e3fb7afdb189c6d529dd0d9a2bc6
• 1629c7a876fb7c63a49a9d182d0c4b993cc3e91d4e6c9a2d207a94c2ac810cdd
• 818e045ad6d365a2560cae35f6cf04e0713586bdfff6f341c2ac19539e58c665