我叫王阿明 今天是我来安识的第432天，在今天前我共完成了158次大大小小的安全应急，本以为凭借着我这满世经纬之才，心中宏阔安全架构雄图，小小的应急响应对我这老司机来说毫无压力。

    但1个小时后我的脸色特别难看，抓不住任何线索的迷茫才让人神伤，若今天解决不了客户网站被篡改的问题，说不定分分钟被老板扫地出门。不说了不说了，客户在等着我尽快恢复业务，老板说了应急响应最重要的是沟通，其次是技术，再次是交付。

一、先谈谈攻击者留下来的症状（这也是客户满眼期待要求消弭的）：

只要从搜索引擎来的User-Agent，服务器全量网站的顶部都会加载如上网站链接，看起来都是正常网站名称，实际跳转的链接都是*暗链，这手法似乎是深谙蜘蛛和SEO之道。

诸如此类：

1   GET /appRQs8X/859/840240/ HTTP/1.1
2   Host: www.xxxxxxx.com

会产生大量的app、poc、hot等关键字开头的url，点击过去就令人肾上腺素激增，“性感荷官、在线发牌”，莫不是骗我的吧。

二、排查之路从此一发不可收拾：

西边的太阳就要落山了、攻击者的末日就要来到

弹起我心爱的土琵琶、唱起那动人的歌谣

哎嗨 安上我心爱的安识主机安全套装

轻轻松松，分分钟Webshell都已经被识别，在凭借我王阿明饱满的自信核实确认后，手工隔离的刹那感觉这个case离完结不远了：

稳稳地看一眼用户信息和事件，阿波罗主机安全未告警异常后门账号事件，小王我也安心了，跟客户再次确认了一下其他账号都属于正常账号（老板说过的沟通是第一位）。

服务、进程、计划任务、木马杀毒挨个排查一遍都未发现明显异常。

客户这32G内存瞬间体现了尊贵，于是他在上面安装了4个安全杀毒软件似乎也很合理，互相不打架就好，挨个扫描，未发现服务器上有恶意文件。

是时候解决症状问题了，在服务器上打开URL Snooper监测服务器对外URL请求：

发现大量恶意请求地址，主要包含但不限于：

1   2382333.com
2   103.246.114.106
3   03751.net/ccc.js
4   www.262690.com
5   www.52xxt.net 
6   www.raxxoo.net 
7   www.hlxxwx.com
8   www.spxxxl.com.cn  
9   www.dxxxashuo.com

其中http://03751.net/ccc.js 文件内容明显就是*跳转JS

但是这个请求是哪里下发的呢，纵然为老司机，也百思不得其解。

Wireshark抓包后发现大量cs.whtjz.com站点的请求，毫不意外同时指向IIS的进程w3wp：

域名解析的IP正是103.246.114.106，跟URL Snooper的IP大量请求遥呼相应。

那还等什么，手起刀落，全局web文件扫描（含动静态文件，log等）关键字：2382333、whtjz、262690、03751.net、103.246.114.106，只在log里面发现了随机字符串，未在源码和配置中发现，似乎该排查的都排查了，到了这里排查思路再难前进。

三、问题难解，安识前人经验来帮忙：

看来事情不简单，那只好按照安识科技内部文档<IIS网站篡改排查步骤和案例精华>一个个核实：

1. 检查Global.asax /Global.asa文件是否被篡改，攻击者有可能设定该文件隐藏属性来逃避检测。

文件正常

2. 代码文件、JS文件等被篡改。

文件正常

3. IIS URL恶意重写

未发现

4. 检查配置文件C:WindowsSystem32inetsrvconfigapplicationHost.config 

根据与正常的applicationHost.config文件进行diff对比，由于IIS知识熟悉度问题，未发现明显异常配置。

由于网站场景不一样，配置加载的dll不尽一样，未做深疑。

        5、配置文件：C:WINDOWSsystem32inetsrvMetaBase.xml,未发现明显异常。

6. Dll文件注入，关注事件发生的节点与新dll文件的时间点，关注dll文件所属公司，关注3中配置是否加载对应可疑dll。

目前情况很明显了，IIS服务器下面十几个网站全都被篡改了，但是每个网站下面代码和web.config和global配置都正常，那么基本断定是IIS总体配置被篡改或者被注入恶意Dll文件。

对C:WindowsSystem32inetsrv目录下配置和文件进行排查，对应2019-07-23事发时间点FilterSecurity64.dll比较可疑：

上传在线杀毒网看看是啥，发现2019-05月份就有人同样好奇过 233333

49个杀毒引擎无一例外，都默默告知这是安全文件，而且FilterSecurity，名字起的很正义，我也只好忍了。但是这个文件时间让小王我有点怀疑，心里的小本子隐隐记下了这个dll。

也尝试过把dll删除，然后服务器500了，只好紧急暂行恢复了观察，客户业务可是第一位呀，不容得一丝马虎。

1个小时过去，跟客户同步完排查进展，客户“满怀期待”的追问网站篡改解决了没？

时间过的真快，9月末微凉的天气飘着淡淡的桂花香气，小王我愁的额头快有了汗珠。

没办法，那就把IIS重装吧，跟客户沟通同意后，上面那么多客户网站一个个配到天黑，安全人员果然不容易，渗透的了站，应急的了入侵，运维的了IIS，安抚的了客户。

在差不多解决了类似如下10多个IIS报错难题后，IIS全web站点都正常运行了，*现象也没有了。

这个时候抓紧把正常配置的IIS和恶意的IIS配置进行diff对比

发现就是下面4个恶意DLL文件作祟，可害苦了我

1.<add name="FilterSecurity32" image="%windir%System32inetsrvFilterSecurity32.dll" preCondition="bitness32" /> 2.<add name="FilterSecurity64" image="%windir%System32inetsrvFilterSecurity64.dll" preCondition="bitness64" />  
3.<add name="ScriptModule-2.0" image="%windir%Microsoft.NETFrameworkv2.0.50727mscorevt.dll" preCondition="bitness32" />
4.<add name="IsapiCacheModule" image="%windir%Microsoft.NETFramework64v2.0.50727mscorevt.dll" preCondition="bitness64" />
5.<add name="FilterSecurity32" preCondition="bitness32" />   
6.<add name="FilterSecurity64" preCondition="bitness64" />
7.<add name="ScriptModule-2.0" preCondition="bitness32" />
8.<add name="IsapiCacheModule" preCondition="bitness64" />

而mscorevt.dll文件藏在%windir%Microsoft.NETFramework64v2.0.50727这么专业的路径下面，做了替换，以假乱真，还真不好一眼认定是恶意的。

通过virustotal扫描发现确实恶意文件，32bit的mscorevt.dll被Avira定义为：TR/AD.CoinMiner.hmjwc

64bit的mscorevt.dll如下，也是只有唯一一个厂商标志了可疑，看起来还算新鲜：

四、事件定性和证据链对应：

跟产品团队核查当时的进程日志，恰好对应上攻击者操作（利用appcmd命令安装恶意dll模块），只能说拥有数据才能站在上帝视角啊：

攻击者抓取了管理员的密码。

让公司逆向小伙伴帮忙看下FilterSecurity64.dll，这神奇的猫腻提示语句毫不犹豫的提示它是个HTTP的远控，含有文件上传下载模块：

也有相关文件操作，一切落定，这下我“小王”荣升“小王师傅”，给IIS网站篡改排查指出一条可行明路。

定性：攻击者通过获取webshell后，通过命令将恶意的dll文件引入IIS配置，从而引发IIS一直请求恶意的链接，导致网站挂上搜索引擎的UA就出现*链接。

虽然攻击者入侵点没有特别技巧，但是dll文件的免杀了国内多数杀软以及webshell绕过了D盾给排查造成了一定困难，再者这种IIS篡改配置和dll，也是最近几个月才遇到，网上也没有先文可以参考。

从后期的日志排查来看，攻击者团队使用Telegram交流，且群内布置Bot，估计是为了告警，团伙作案明显。

1   2019-09-18 14:53:17 xx.xx.x8.2xx 
2   GET /xxxx/xxxxxxx/4399.aspx - 80 - 149.154.161.6
3   TelegramBot+(like+TwitterBot) 200 0 0 328

从近几个月类似的IIS被篡改案例的操作和IOCs可以断定是同一波人。

攻击者代理：

1   47.107.1xx.240 
2   106.53.xxx.188
3   120.24.xxx.74
4   121.54.xxx.39
5   114.199.xx.72

MD5：

万万没想到，我还是没辜负老板对我的信任，客户对我的期待。

寥落尘寰数十载  何曾开眼论英豪

刀光起处鲸吞海  誓将浮名敬死生

祝福我们伟大的祖国70周年庆典，致敬值守在客户现场的安识兄弟们，致敬全体抗战在一线的安全工作者们，唯有我们的一点一滴守护才能达成一个渐近安全纯净的互联网世界。