针对阿富汗政府的APT攻击中检测到新的HrServ.dll库WebShell

阿富汗的一个未指定的政府实体成为了先前未记录的名为 HrServ 的 Webshell 的目标，这被怀疑是高级持续威胁 (APT) 攻击。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该 Webshell 是一个名为 hrserv.dll 的动态链接库 (DLL)，具有复杂的功能，例如用于客户端通信和内存执行的自定义编码方法等。根据这些工件的编译时间戳，可以追溯到 2021 年初的恶意软件变种。

Webshell可对受感染的服务器提供远程控制。一旦上传，它就允许攻击者执行一系列利用后活动，包括数据盗窃、服务器监控和网络内的横向移动。

攻击链涉及PAExec远程管理工具，这是PsExec的替代品，用作启动板来创建伪装成 Microsoft 更新（ MicrosoftsUpdate ）的计划任务，随后将其配置为执行 Windows 批处理脚本。

批处理脚本接受 DLL 文件（ hrserv.dll ）的绝对路径作为参数，然后将其作为服务执行以启动能够解析传入 HTTP 请求以进行后续操作的 HTTP 服务器。

根据 HTTP 请求中的类型和信息，会激活特定功能。hrserv.dll 文件中使用的 GET 参数用于模仿 Google 服务。

这很可能是威攻击者试图将这些恶意请求混合到网络流量中，从而使区分恶意活动和良性事件变得更加困难。

这些 HTTP GET 和 POST 请求中嵌入了一个名为 cp 的参数，其值（范围从 0 到 7）决定了下一步的操作。这包括生成新线程、创建写入任意数据的文件、读取文件以及访问Outlook Web App HTML 数据。

如果POST请求中cp的值等于“6”，则会触发代码执行，解析编码数据并将其复制到内存中，然后创建一个新线程，进程进入睡眠状态。

Webshell 还能够激活内存中隐秘的“多功能植入物”的执行，该植入物负责通过删除“MicrosoftsUpdate”作业以及初始 DLL 和批处理文件来擦除取证痕迹。

目前尚不清楚该 Web shell 背后的威胁发起者，但源代码中存在多个拼写错误表明恶意软件作者的母语不是英语。

值得注意的是，网络 shell 和内存植入针对特定条件使用不同的字符串，此外，记忆植入物还具有精心制作的帮助信息。