HRServ APT组织浮出水面：利用“合法”Web Shell管理服务器，专攻中东政府与IT服务商

信息来源：HrServ web shell analysis | Securelist （2023年11月22日）

在网络安全的暗流中，一些攻击者不追求炫目的零日漏洞，而是选择成为目标网络的“影子管理员”。2023年底，卡巴斯基研究人员发现了一个名为 HRServ 的新型APT组织。该组织长期活跃于中东地区，通过入侵服务器并部署一种功能强大的定制化Web Shell，对政府机构、IT服务提供商和电信公司进行持久化控制与数据窃取。

最令人警惕的是，HRServ部署的Web Shell并非简单的后门，而是一个功能完整的“服务器管理控制台”，其界面和功能与合法的服务器管理工具极为相似，使攻击者能像系统管理员一样自由操作，却完全隐身于系统日志之外。

一、攻击起点：从Web漏洞到Web Shell的快速渗透

HRServ的攻击始于对公共Web服务器的漏洞利用。虽然其初始入侵手法尚未完全明确，但卡巴斯基在其攻击链中发现了与已知漏洞利用相关的痕迹，暗示其可能利用了未修补的CMS或服务器软件漏洞。

一旦获得访问权限，攻击者便会：

1. 在服务器上部署一个名为 HRServ Web Shell 的恶意PHP脚本；

2. 通过加密的HTTP请求与该Web Shell通信；

3. 利用其内置功能执行命令、窃取文件、扫描内网。

整个过程迅速而隐蔽，目标是建立一个长期、稳定的远程访问通道。

二、HRServ Web Shell：伪装成“控制面板”的全能后门

HRServ Web Shell是此次攻击的核心。它不仅仅是一个简单的命令执行接口，而是一个具备完整图形化操作界面的多功能管理工具。

1. 功能全面，堪比合法控制面板

该Web Shell提供了一系列功能模块，攻击者可通过点击式界面进行操作：

• 文件管理器：浏览、上传、下载、编辑、删除服务器上的任何文件；

• 命令执行：在服务器上执行任意系统命令；

• 数据库管理：连接并操作MySQL、PostgreSQL等数据库；

• 端口扫描：扫描内网其他主机的开放端口；

• 反向Shell：建立加密的反向连接，绕过防火墙；

• 权限提升：尝试利用本地漏洞获取root权限。

这种“控制面板”式的设计，极大降低了攻击者的操作门槛，使其无需深厚的命令行技能即可高效完成攻击。

2. 高度隐蔽，规避检测

• 通信加密：所有与C2的通信均经过加密，且流量模式与正常HTTP请求相似；

• 无文件痕迹：Web Shell本身是服务器上的一个PHP文件，与合法网站文件混杂，难以区分；

• 日志清理：攻击者在行动后会主动清理Web服务器的访问日志，抹除痕迹。

三、攻击目标与TTPs：专注中东，手法一致

1. 目标行业

HRServ的攻击目标高度集中于：

• 政府机构：特别是其对外服务的Web服务器；

• IT服务提供商：作为供应链跳板，进而攻击其客户；

• 电信公司：控制关键网络基础设施。

2. 战术、技术和程序（TTPs）

• 持久化：通过Web Shell实现，只要Web服务器在线，即可随时接入；

• 横向移动：利用被攻陷的服务器作为跳板，扫描并攻击内网其他系统；

• 数据窃取：重点窃取数据库备份、配置文件、用户凭证等高价值数据；

• 基础设施：C2服务器多位于东欧和亚洲，使用动态域名和短生命周期VPS。

四、归因分析：一个全新的威胁实体

截至目前，卡巴斯基尚未能将HRServ归因于任何一个已知的APT组织。原因如下：

• 独特的Web Shell：HRServ Web Shell的代码和功能设计此前未在任何其他威胁中发现；

• 攻击模式新颖：专注于部署功能完整的Web Shell作为主要控制手段，而非依赖传统的二进制后门；

• 目标专一：活动范围主要局限于中东，且未与其他组织的攻击重叠。

因此，卡巴斯基认为HRServ是一个此前未被公开的、具备专业能力的APT组织，其资源和目标指向国家级网络间谍活动。

五、防御建议：如何应对“合法化”的Web Shell威胁

1. 严格Web服务器安全配置：

   • 及时修补CMS、框架和服务器软件的已知漏洞；

   • 禁用不必要的PHP函数（如exec, system, shell_exec）；

   • 设置严格的文件上传规则，禁止上传PHP等可执行文件。

2. 部署Web应用防火墙（WAF）：

   • 配置规则检测和阻止Web Shell的典型行为（如执行系统命令、端口扫描）；

   • 监控对敏感目录（如/uploads/, /tmp/）的写入和执行操作。

3. 加强文件完整性监控（FIM）：

   • 定期扫描Web目录，检测未知或未经授权的PHP文件；

   • 对核心文件的哈希值进行监控，发现篡改立即告警。

4. 审计日志与行为分析：

   • 收集并分析Web服务器访问日志，寻找异常的POST请求、长连接或大量数据下载；

   • 使用SIEM或UEBA系统，识别与正常用户行为不符的管理员操作。

5. 最小权限原则：

   • Web服务器进程应以最低权限运行，避免使用root或system权限；

   • 数据库账户应仅具备必要权限，避免使用高权限账号。

结语：当后门成为“控制台”

HRServ的出现，揭示了一种新的APT攻击范式：攻击者不再试图隐藏自己，而是让自己成为系统的一部分。他们不部署复杂的二进制木马，而是留下一个功能强大的Web Shell，然后像真正的管理员一样，从容地管理、探索和窃取。

这种“合法化”的攻击方式，对传统安全防御构成了严峻挑战。未来的防护，必须从“找恶意文件”转向“识异常行为”，从“封IP”转向“管权限”。因为最危险的敌人，可能正坐在你的管理员控制台前，用你的账号，做着你无法想象的事。

“他们不需要藏在暗处，因为他们已经穿上了你的制服。”
——来自对HRServ的深度观察