最近，在客户现场发现了一种新型攻击活动，其中XMRig CoinMiner安装在运行Apache的Windows Web服务器上。黑客使用Cobalt Strike来控制受感染的系统（Cobalt Strike 是一种商业渗透测试工具，最近被用作在大多数攻击（包括 APT 和勒索软件）中）。

图1 由Apache Web服务（httpd.exe）安装的Cobalt Strike

针对Apache Web服务器的攻击

目标系统是安装了旧版本Apache Web服务和PHP的业务系统。虽然尚未确定具体的攻击方法，但很可能针对未打补丁的 Apache Web 服务器进行各种漏洞攻击。

图2 攻击中使用的PHP Web Shell 恶意软件

攻击方通过已安装的Web外壳或漏洞攻击上传并执行了恶意软件。攻击目标是httpd.exe进程，即Apache Web服务器。因此，httpd.exe 会执行恶意行为，例如创建和运行恶意软件。

请注意，为 Web 服务进程创建文件和执行进程等行为并不总是用于恶意目的，这些可能发生在合法的更新过程中，或者在管理员处理Web服务器管理任务时发生。因此，常见的反恶意软件产品在一定程度上无法很好地阻止此类行为。

攻击中使用的 Cobalt Strike

信标（Beacon）是 Cobalt Strike 的代理，充当后门。Cobalt Strike 提供各种形式的信标.根据方法的不同，它们可以分为有阶段或无阶段。

恶意软件Stager从外部源下载信标并在内存区域中执行它。由于此方法实际上不包含信标，因此它的大小很小，并且需要额外的步骤来下载信标。另一方面，使用无阶段方法创建的 Cobalt Strike 包含一个信标，并且文件大小高于特定阈值。

图3 下载加密信标的Stager恶意软件

为了逃避文件检测，攻击者对所使用的恶意软件进行了混淆，包括使用 Golang或PyInstaller。攻击中使用的大多数恶意软件都使用无阶段方法。但是，PyInstaller开发的恶意软件是一种使用Stager的下载器恶意软件（下载 Cobalt Strike 并在内存中执行它）。

信标还可以通过HTTP等协议与C&C服务器通信，由于在横向移动阶段安装在内部网络中的信标不会与外部网络连接，因而使用通过SMB协议通信的B信标。

由于攻击中使用的Cobalt Strike实例都用于在初始渗透后控制受感染的系统，因此它们使用HTTP协议与C&C服务器进行通信。以下是在攻击中使用的 Cobalt Strike实例中使用Cobalt Strike Parser提取配置数据 的结果。下图可以看到各类设置，不仅包括 C&C 服务器地址，还包括用户代理和注入目标进程。

图4 Cobalt Strike设置数据

攻击中使用的Cobalt Strike实例具有多种形式，例如Go和PyInstaller，但在所有情况下，C&C服务器都使用了相同的IP地址。

安装其他恶意软件

在尝试安装 Cobalt Strike 后，它继续尝试额外安装Gh0st RAT。当通过这些尝试获得对受感染系统的控制权时，最终会安装门罗币挖掘的 CoinMiner。

图5 XMRig通信数据包

由于除了安装远程控制恶意软件和CoinMiner的日志外，没有发现其它日志，因此认为攻击者的最终目标是使用管理不善的Web服务器的资源来挖掘门罗币并赚取利润。

结论

最近，已经发现了在具有Apache Web服务的Windows服务器上安装 Cobalt Strike的攻击，并且从日志中可以看出，黑客攻击了管理不善的Web服务器或具有未修补漏洞的Web服务器。

Cobalt Strike 是一种商业渗透测试工具，最近被用作在大多数攻击（包括 APT 和勒索软件）中主导内部系统的介质，管理员必须提前检查Web服务器中是否存在文件上传漏洞，防止WebShell上传的初始渗透路径。此外，必须定期更改Apache的密码，并且必须采取访问控制措施，以应对使用被盗帐户凭据的横向移动攻击。