Güvenlik araştırmacıları, Microsoft Windows kurulumlarında yönlendirilen siber threats’teki dikkate değer bir artışa yanıt olarak, uzlaşılmış İnternet Bilgi Hizmetleri (IIS) sunucularına yüklenen updatechecker.aspx adlı karmaşık bir çevrimiçi kabuk komut dosyasını incelediler.
Bu analiz, Fortiguard’ın olay müdahale ekibinin, saldırganların kalıcı erişimi sürdürmek için birden fazla web mermisi kurdukları Orta Doğu Kritik Ulusal Altyapı (CNI) sahasında uzun süreli bir saldırı haline getirilmesinden kaynaklanmaktadır.
Web kabuğu, etkilenen sistemlerin tam uzaktan kumandasını sağlar, yetkisiz komut yürütme, dosya manipülasyonu ve veri açığa çıkmasına izin vererek Windows kullanıcıları için yüksek aralıklı bir risk oluşturur.
Gizlenmiş tehdidi tanıtmak
Meşru bir ASPX sayfasının kisvesi altında çalışan komut dosyası, şifreli dizeler ve sayısal sabitlerin yanı sıra Unicode’da kodlanan rastgele oluşturulan yöntem, değişken ve sınıf adları ile C# kodunda ağır gizlemeyi kullanır.
Bu şaşkınlık, ilk tersine mühendislik çabalarını engeller, ancak deobfuscation, gelen HTTP isteklerini yalnızca sunucu tarafında işleyen Page_Load () Giriş Noktası etrafında ortalanmış temel işlevselliği ortaya çıkarır.
Web kabuğu, bir uygulama/Octet-akış içerik türüne sahip HTTP Post istekleri aracılığıyla komutlar talep eder; Herhangi bir sapma bir hata tepkisini tetikler.
Komut yükleri şifrelenir, baz64 kodlanmış ve JSON nesneleri olarak yapılandırılmıştır, kalan veriler için 15 baytlık bir oturum anahtarı vermek için sert kodlanmış bir anahtar kullanılarak şifreli bir anahtarlık ile başlayarak başlar.
Essential JSON tuşları arasında protokolversiyon (1.0 olarak sabitlenmiş), ModuleName ve RequestName, isteğe bağlı parametreler belirli eylemleri dikte eder. Bu sonuçları hata mesajlarına dahil etmemesi, güçlü komut doğrulaması sağlayarak.
Wireshark gibi araçlarla simüle edilen trafik analizi, post gövdelerde şifreli ikili dosyaları gösterir, JSON biçimlendirilmiş talimatları ve yanıtları ortaya çıkarmak için şifresini çözerek, acil alarmlar yükseltmeden kesintisiz saldırgan-kurban etkileşimlerini kolaylaştırır.
Kapsamlı sistem hakimiyeti
Web kabuğunun mimarisi, işlevsellikleri üç modüle ayırır: her biri tehlikeye atılan ana bilgisayar üzerinde ayrıntılı kontrol sunan taban, komuta ve filemanager.
Temel modül, GetBasicserVerinfo ve getBasicserverApplicationInfo gibi istekler, sunucu yazılımı, IP adresi, işletim sistemi sürümü, makine adı ve çalışma zamanı ortamı gibi ayrıntıları hasat eder.
Commandshell, mevcut kullanıcı bağlamını tanımlamak için ‘Whoami’ çalıştırılarak örneklenen IIS ayrıcalıkları altında keyfi Windows komut yürütmesini sağlar.
Dizin oluşturma, dosya kopyalama/taşıma, silme, ad veya anahtar kelimeye göre içerik arama (vaka hassasiyeti ve regex seçenekleriyle) ve zaman damgası veya izinler gibi öznitelik değişiklikleri gibi kapsamlı dosya sistemi işlemleri ile öne çıkıyor.
Örneğin, saldırganlar dizinler oluşturabilir, Dosyalara Base64 kodlu içerik enjekte edebilir, dosya verilerini alabilir veya belirtilen yollarda ve dosya türlerinde toplu değiştirmeler yapabilir.
Özel bir Python betiği kullanan gösteriler gerçek dünyadaki sömürü simüle eder: Sunucu bilgilerini sorgulamak çevresel ayrıntıları ortaya çıkarır; Komutların yürütülmesi kullanıcı ayrıcalıklarını ortaya çıkarır; ve dosya işlemleri, bir ‘test’ klasörü ve ‘Test.txt’ dosyası oluşturma gibi kaynakların oluşturulmasına, değiştirilmesine ve silinmesine izin verir ve “Hi Fortinet!”
Bu yetenekler, web kabuğunun yanal hareket, veri hırsızlığı veya ihlal edilen ağlarda daha fazla yük dağıtımının gücünün altını çizmektedir.
Rapora göre, Fortinet’in korumaları, ASP/Webshell.32BC! TR gibi imzalar altında ASPX dosyasını Fortigate, Fortitimail, Forticlient, Fortiedr ve Fortiweb gibi ürünler arasında, güncellenmiş antivirüs motorları ve web uygulama ateşi ihtiyacını vurgulayarak algılar.
Uzlaşmadan şüphelenen kuruluşlar, genellikle bu tür müdahalelerden önce gelen kimlik avı vektörlerini azaltmak için güvenlik eğitimi yoluyla olay müdahale ekipleriyle ilgilenmeli ve farkındalığı artırmalıdır.
Bu web kabuğu, devlet destekli veya sofistike siber işlemlerde gelişmiş kalıcılık mekanizmalarını örneklendirir ve Windows yöneticilerinin anormal ASPX dosyaları için IIS sunucularını denetleme ve katı istek filtreleme uygulama aciliyetini vurgular.
Uzlaşma Göstergeleri (IOCS)
| Dosya | Sha-256 karma |
|---|---|
| UpdateChecker.aspx | A841C8179AC48BDC2EBF1E646D4F552D9CD02FC79207FDC2FC783889049F32BC |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!