HrServ web kabuğu, uzaktan sunucu yönetimine olanak tanıyan, yetkisiz erişime ve kontrole izin veren kötü amaçlı bir komut dosyası veya programdır.
Bilgisayar korsanları, bir sunucuya veya web sitesine yetkisiz erişim sağlamak için web kabuklarını hedef alarak komutları yürütmelerine, dosyaları yüklemelerine/indirmelerine ve sistemi aşağıdaki gibi kötü amaçlarla manipüle etmelerine olanak tanır: –
- Veri hırsızlığı
- Daha fazla saldırı başlatın
Securelist’teki siber güvenlik araştırmacıları yakın zamanda aşağıdaki gibi gelişmiş özelliklere sahip “hrserv.dll” adlı yeni bir web kabuğu keşfetti: –
- Özel kodlama
- Bellek içi yürütme
Sadece bu da değil, analiz sırasında bile güvenlik analistleri 2021’deki benzer ilgili varyantları da tespit etti ve bu da kötü amaçlı faaliyetlerle potansiyel bir bağlantı olduğunu öne sürdü.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
HrServ Web Kabuğu
PAExec.exe, bir .BAT dosyasını tetikleyen bir ‘MicrosoftsUpdate’ zamanlanmış görevi oluşturur. Betik, $public\hrserv.dll dosyasını System32’ye kopyalar, ‘sc’yi kullanarak bir kayıt defteri hizmetini yapılandırır ve yeni oluşturulan hizmeti etkinleştirir.
HrServ, bir hizmet işleyicisini kaydederek başlar, ardından özel kodlamayı kullanarak bir HTTP sunucusunu başlatır: –
HTTP isteklerindeki ‘cp’ GET parametresine göre belirli işlevler etkinleştirilir ve DLL ayrıca NID çerezinden de yararlanır.
Adlandırma kalıpları Google’ınkileri taklit ediyor; muhtemelen ağ trafiğindeki kötü amaçlı etkinlikleri gizleyerek algılama zorlukları yaratıyor.
6’lık bir cp değeri, kod yürütülmesini tetikler ve bilinmeyen bir cp değerine sahip bir senaryoda, sistem belleğinde çok yönlü bir implant etkinleştirilir.
“%temp%” içinde bir dosya oluşturur ve aşağıdakileri yapar:-
- Kayıt defteri bilgilerini alır
- Buna göre aksiyon alır
- Çıktıyı dosyaya kaydeder
Araştırmacılar, özel kodlamayı kullanarak 2021’de HrServ varyantlarını buldu. Sistem belleğine yerleştirildikten sonra “MicrosoftsUpdate” işini ve başlangıç dosyalarını silerek izleri silerler. Benzer kodlamaya rağmen davranışta ince farklılıklar mevcuttur.
Bunun yanı sıra güvenlik analistleri, TTP’leri bilinen herhangi bir tehdit aktörüne bağlayamadı. Ayrıca mevcut rapora göre Afganistan’daki bir hükümet kuruluşunun da mağdur olduğu belirlendi.
WebShell kabuğu, 2021’den bu yana kayıt defteri düzenlemeleri aracılığıyla bellek içi yürütmeler gerçekleştiriyor ve bellek implantından farklı dizeler kullanarak iletişim kuruyor. APT benzeri davranışlara rağmen bu durumda finansal motivasyona sahip özellikler hakimdir.
IOC’ler
Dosya karmaları:
b9b7f16ed28140c5fcfab026078f4e2e
418657bf50ee32acc633b95bac4943c6
d0fe27865ab271963e27973e81b77bae
890fe3f9c7009c23329f9a284ec2a61b
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.