最近两到三年,不少骇客组织锁定Exchange以外的邮件伺服器从事攻击行动,像是被称为APT28、Fancy Bear、Forest Blizzard、Strontium的俄罗斯骇客组织,这些骇客疑似先透过已知漏洞渗透邮件伺服器,接著在此部署后门并启动,从而得到完整的控制权。此后门程式以多个开源专门为基础打造,并可安装附加元件扩充功能,该恶意程式不仅将自己伪装成常见的伺服器元件,以便融入Exchange伺服器的正常作业流程,并具备多种回避侦测机制,还能充当代理伺服器或是建立隧道。
GhostContainer的档名是App_Web_Container_1.dll,以.NET打造而成,一旦Exchange的服务启动,此后门程式就会启动C2命令解析器,而能在邮件伺服器执行Shell Code与命令、下载档案,或是载入额外的.NET位元组码(Bytecode)。该后门程式还有另外两项模组,用途分别是载入代理伺服器,以及虚拟网页注入工具。
为了避免被侦测,此后门程式会试图绕过反恶意程式码扫描介面(AMSI)与事件记录机制,再者,骇客从ASP.NET组态取出Machine Key,并以此金钥进行AES加密通讯,另一方面,他们也透过Exchange的请求隐藏命令,并以Base64及AES加密处理、传输。
一般来说,骇客通常会利用C2隐匿行踪,但使用GhostContainer的人士并非如此,他们会直接存取受害伺服器,并将下达的命令埋入Exchange的网页请求,使得卡巴斯基难以识别攻击者的来源IP位址或是网域。