Dünya çapındaki Microsoft Exchange sunucuları gizli yeni arka kapıdan etkilendi


Dünya çapındaki Microsoft Exchange sunucuları gizli yeni arka kapıdan etkilendi

Getty Resimleri

Araştırmacılar, tehdit aktörlerinin saldırıya uğradıktan sonra Microsoft Exchange sunucularını arka kapıya taşımak için son 15 aydır kullandıkları gizli yeni kötü amaçlı yazılımlar belirlediler.

SessionManager olarak adlandırılan kötü amaçlı yazılım, varsayılan olarak Exchange sunucularına yüklenen web sunucusu olan Internet Information Services (IIS) için meşru bir modül görevi görür. Kuruluşlar, web altyapılarındaki belirli süreçleri kolaylaştırmak için genellikle IIS modüllerini kullanır. Güvenlik firması Kaspersky’den araştırmacılar, Mart 2021’den bu yana SessionManager bulaşmış 24 kuruluşa ait 34 sunucu belirledi. Bu ayın başlarından itibaren, Kaspersky dedi20 kuruluş enfekte kaldı.

Gizlilik, ısrar, güç

Kötü amaçlı IIS modülleri, güçlü, kalıcı ve gizli arka kapıları dağıtmak için ideal bir yol sunar. Kurulduktan sonra, sunucuya e-posta toplaması, daha fazla kötü niyetli erişim eklemesi veya güvenliği ihlal edilmiş sunucuları gizli amaçlarla kullanma talimatı veren operatör tarafından gönderilen özel olarak hazırlanmış HTTP isteklerine yanıt verirler. Eğitimsiz bir göz için, HTTP istekleri, operatöre makine üzerinde tam kontrol sağlasalar da, dikkat çekici görünmüyor.

Kaspersky, “Bu tür kötü amaçlı modüller genellikle operatörlerinden görünüşte meşru, ancak özel olarak hazırlanmış HTTP istekleri bekler, varsa operatörlerin gizli talimatlarına dayalı eylemleri tetikler ve ardından diğer herhangi bir istek gibi işlenmesi için isteği şeffaf bir şekilde sunucuya iletir.” araştırmacı Pierre Delcher yazdı. “Sonuç olarak, bu tür modüller olağan izleme uygulamaları tarafından kolayca tespit edilemez: harici sunucularla şüpheli iletişimler başlatmaları, HTTP istekleri aracılığıyla bu tür işlemlere özel olarak maruz kalan bir sunucuya komutları almaları gerekmez ve dosyaları genellikle birçok başka meşru dosya içeren gözden kaçan konumlar.”

Kaspersky

SessionManager dağıtıldıktan sonra, operatörler bunu virüslü ortamın profilini çıkarmak, bellekte depolanan parolaları toplamak ve aşağıdakiler de dahil olmak üzere ek araçlar yüklemek için kullanır. PowerSploit tabanlı yansıtıcı yükleyici, Mimikat SSP, ProcDumpve meşru bir Avast bellek dökümü aracı. Kaspersky, en az Mart 2021’e kadar uzanan birden fazla SessionManager varyantı elde etti. Örnekler, her yeni sürümde daha fazla özellik ekleyen istikrarlı bir evrim gösteriyor. Kötü amaçlı modülün en son sürümü aşağıdakileri içerir:

Komut adı
(SM_SESSION çerez değeri)
Komut parametreleri
(ek çerezler)
ilişkili yetenek
DOSYAYI AL FILEPATH: okunacak dosyanın yolu. FILEPOS1: dosya başlangıcından itibaren okumaya başlanacak konum.

FILEPOS2: okunacak maksimum bayt sayısı.

Güvenliği ihlal edilmiş sunucudaki bir dosyanın içeriğini okuyun ve operatöre cool.rar adlı bir HTTP ikili dosyası olarak gönderin.
PUTFILE FILEPATH: Yazılacak dosyanın yolu.

FILEPOS1: yazmaya başlamak için konum.

FILEPOS2: ofset referansı.

FILEMODE: istenen dosya erişim türü.

Güvenliği ihlal edilmiş sunucudaki bir dosyaya rastgele içerik yazın. Belirtilen dosyaya yazılacak veriler HTTP istek gövdesi içinde iletilir.
DOSYAYI SİL FILEPATH: silinecek dosyanın yolu. Güvenliği ihlal edilmiş sunucudaki bir dosyayı silin.
DOSYA BOYUTU FILEPATH: ölçülecek dosya yolu. Belirtilen dosyanın boyutunu (bayt olarak) alın.
CMD Hiçbiri. Güvenliği ihlal edilmiş sunucuda rastgele bir işlem çalıştırın. Çalıştırılacak süreç ve argümanları, HTTP istek gövdesinde şu biçim kullanılarak belirtilir: \t. İşlem yürütmesinden elde edilen standart çıktı ve hata verileri, HTTP yanıt gövdesindeki operatöre düz metin olarak geri gönderilir.
PING Hiçbiri. SessionManager dağıtımını kontrol edin. “Çalışıyor TAMAM” (hasta.) mesajı, HTTP yanıt gövdesinde operatöre gönderilecektir.
S5CONNECT S5HOST: bağlanılacak ana bilgisayar adı (S5IP ile özel).

S5PORT: yazmaya başlama noktası.

S5IP: Ana bilgisayar adı verilmemişse bağlanılacak IP adresi (S5HOST’a özel).

S5TIMEOUT: bağlantıya izin vermek için saniye cinsinden maksimum gecikme.

Oluşturulan bir TCP soketini kullanarak güvenliği ihlal edilmiş ana bilgisayardan belirli bir ağ uç noktasına bağlanın. Oluşturulan ve bağlanan soketin tamsayı tanımlayıcısı, HTTP yanıtında S5ID tanımlama bilgisi değişkeninin değeri olarak döndürülecek ve bağlantının durumu, HTTP yanıt gövdesinde rapor edilecektir.
S5WRITE S5ID: S5CONNECT tarafından döndürülen, yazılacak soketin tanımlayıcısı. Belirtilen bağlı sokete veri yazın. Belirtilen sokete yazılacak veriler HTTP istek gövdesi içinde iletilir.
S5OKU S5ID: S5CONNECT tarafından döndürüldüğü şekliyle okunacak soketin tanımlayıcısı. Belirtilen bağlı soketten verileri okuyun. Okunan veriler, HTTP yanıt gövdesi içinde geri gönderilir.
S5KAPAT S5ID: S5CONNECT tarafından döndürüldüğü şekliyle kapatılacak soketin tanımlayıcısı. Mevcut bir soket bağlantısını sonlandırın. İşlemin durumu, HTTP yanıt gövdesi içinde bir mesaj olarak döndürülür.

ProxyLogon’u hatırlıyor musunuz?

SessionManager, tehdit aktörleri Microsoft Exchange sunucularında ProxyLogon olarak bilinen güvenlik açıklarından yararlandıktan sonra yüklenir. Kaspersky, Afrika, Güney Amerika, Asya ve Avrupa’daki STK’lara, hükümetlere, ordulara ve endüstriyel kuruluşlara bulaştığını tespit etti.

Kaspersky

Kaspersky, araştırmacıların Gelsemium olarak adlandırdığı önceden tanımlanmış bir tehdit aktörünün SessionManager’ı dağıttığına orta ila yüksek güven duyduğunu söyledi. Güvenlik firması ESET bir yayınladı. grupta derin dalış (PDF) geçen yıl. Kaspersky’nin tanımlaması, hedeflenen iki grup ve kurban tarafından kullanılan kodun örtüşmesine dayanmaktadır.

SessionManager veya benzeri kötü niyetli IIS modülleri tarafından vurulan sunucuları dezenfekte etmek karmaşık bir işlemdir. Kaspersky’nin gönderisi, kuruluşların virüs bulaşıp bulaşmadığını belirlemek için kullanabilecekleri göstergeleri ve virüs bulaştıklarında atmaları gereken adımları içeriyor.


Kaynak : https://arstechnica.com/?p=1863868

Yorum yapın