当地时间9月15日，美国网络安全和基础设施安全局(CISA)发布了一份恶意软件分析报告(MAR)，该报告详细介绍了19个恶意文件的细节，其中包含有关伊朗黑客使用的Web Shell的技术细节。

Web Shell是一种用典型的Web开发编程语言(例如ASP，PHP，JSP)编写的代码，攻击者将其植入Web服务器上以获得远程访问和代码执行。Web Shell让攻击者可以传递和执行JavaScript代码，这些代码可用于枚举目录，执行有效负载及泄露数据。

根据CISA的报告，来自匿名APT组织的伊朗黑客正在利用几个已知的Web Shell，对美国各地的IT，政府，医疗，金融和保险组织进行攻击。他们利用了Pulse Secure 虚拟专用网， Citrix ADC以及 F5’s BIG-IP ADC产品中的漏洞进行攻击，使用的恶意软件包括ChunkyTuna，Tiny和China Chopper。

几周前，有研究人员透露，这个伊朗APT组织名为“Pioneer Kitten”，又名 Fox Kitten或Parisite。该组织现在正试图通过将其已入侵的某些网络的访问权出售给其他黑客来获利。过去的几个月，他们一直在攻击虚拟专用网服务器。

此外，CISA专家也分析了程序数据(PDB)文件和二进制文件，这些文件已被识别为开源项目“ FRP”的编译版本。FRP可以使攻击者通过隧道，将各种类型的连接建立到目标网络范围之外的远程操作员。该报告还分析了作为KeeThief开源项目一部分的PowerShell 脚本，该脚本可让攻击者访问Microsoft“ KeePass”密码管理软件存储的加密密码凭据。

攻击者利用了这些恶意工具来维护持久的远程访问，并从受害者的网络中泄漏数据。他们可能已经使用了“ FRP”实用程序来建立出站远程桌面协议(RDP)会话的隧道，以支持从防火墙外对网络进行持久访问。

该报告还详细介绍了另外7个文件，其中包含用作恶意Web Shell的恶意超文本预处理器(PHP)代码，被标识为ChunkyTuna和Tiny Web Shell。这两个Web Shell均可接受远程命令和数据，所以操作者可以远程控制受感染的系统。

参考来源：

https://securityaffairs.co/wordpress/108357/malware/cisa-web-shells-iranian-hackers.html