Windows IIS Sunucuları genellikle, bilgisayar korsanlarının Windows IIS sunucularına saldırması nedeniyle hassas verilere ve sistemlere ağ geçidi sağlayan kritik web uygulamalarını ve hizmetlerini barındırır.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından tespit edildiği üzere, Güney Koreli bir tıp kuruluşunun Resim Arşivleme ve İletişim Sistemine (PACS) sahip Windows IIS sunucusu saldırıya uğradı ve bu da CoinMiner enfeksiyonlarına yol açtı.
Olası PACS güvenlik açıklarını veya yanlış yapılandırılmış güvenlik ayarlarını gösteren web kabuğu yüklemelerine ilişkin çeşitli şüpheler vardır.
Saldırılar, muhtemelen Cpolar ve RingQ gibi çeşitli araçları kullanan ve Çince açıklamalarla tamamlanan Çinli bilgisayar korsanları tarafından düzenlenen, birkaç gün arayla iki farklı durumdu.
Bu olay, Kore’deki açıkta kalan web sunucularının sürekli olarak hedeflenmesinin bir örneğidir ancak özellikle hastanelerdeki PACS gibi kritik sistemler için güvenli önlemlerin alınmasının önemini vurgulayan, Çin konuşan gruplara yöneliktir.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Windows IIS Sunucusuna Saldıran Bilgisayar Korsanları
İlk olarak, Chopper ve Behinder web kabuklarının yüklenmesi yoluyla bir Kore tıp enstitüsünün web sunucusuna saldırı başlatıldı ve ardından sistem keşfi yapıldı.
Ayrıcalık yükseltmesi için tehdit aktörü tarafından BadPotato kullanıldı, uzaktan erişim için ise Cpolar kullanıldı. Bir CoinMiner, toplu komut dosyası, görev zamanlayıcı XML’i ve indiriciyi içeren bir “1.cab” dosyası aracılığıyla geldi.
Son olarak Çince konuşan bazı saldırganlar yukarıdaki araçları seçmiş ve senaryolara da açıklamalar eklemişti.
Bunlar arasında birkaç ek web kabuğu (ASPXspy, Caidao), ayrıcalık yükseltme araçları (PrintNotifyPotato, IIS LPE, GodPotato), bağlantı noktası yönlendirme araçları (Lcx, Frpc) ve kullanıcı hesabı oluşturma kötü amaçlı yazılımları vardı.
Sonuç olarak, bu her şey dahil araç seti, ele geçirilen sunucuya sürekli erişim sağladı, bu da sunucunun yönetilmesini sağladı ve kripto para madenciliğine yardımcı oldu.
Günler sonra, Koreli bir tıp kurumunun web sunucusuna ikinci saldırı düzenlendi.
Saldırgan ayrıca ek kötü amaçlı yazılım indirmek için Certutil’i kullandı ve GodPotato, PrintNotifyPotato ve CVE-2021-1732 istismarı gibi daha fazla ayrıcalık yükseltme aracı yükledi; bunlar arasında fscan, uzak kabuk ve Netcat gibi konuşlandırılan diğer ağ araştırma araçları da vardı.
EarthWorm bir proxy aracı olarak görev yaparken Ladon, saldırı sürecindeki farklı adımları gerçekleştiren çok işlevli, Çin yapımı bir araçtır.
Bunun yanı sıra kanıtlar, tehdit aktörünün, dosya tabanlı algılamayı atlamak amacıyla kötü amaçlı yazılımları bellekte şifrelemek ve yürütmek için RingQ’yu kullanan Çince konuşan bir kişi olabileceğini gösteriyor.
Sonuç olarak, en gelişmiş kaçınma tekniklerinden bazılarına sahip olan ve hatta kripto madenciliğine odaklanan XMRig CoinMiner adında bir ASPX indiricisini hassas bir şekilde hazırladılar.
Öneriler
Aşağıda, güvenlik analistlerinin bu tür saldırıları önlemek için sunduğu tüm önerilerden bahsettik: –
- Yöneticiler dosya yükleme güvenlik açıklarını ele almalıdır.
- Düzenli şifre değişiklikleri uygulayın.
- Yanal hareket risklerini azaltmak için erişim kontrolleri.
- Antivirüs yazılımını güncel tutun.
IOC’ler
MD5
İlk Saldırı Vakası: –
– 67af0bc97b3ea18025a88a0b0201c18d: WebShell – woanware (1.aspx)
– f6591c1ab7f7b782c386af1b6c2c0e9b: WebShell – woanware (2.aspx)
– 986c8c6ee6f6a9d12a54cf84ad9b853a: WebShell – Kıyıcı (2a.aspx)
– 2183043b19f4707f987d874ce44389e3: WebShell – Arkasında (32.aspx)
– 77d507d30a155cf315f839db3bf507f7: WebShell – Arkasında (1234a.aspx)
– 8d52407e143823a867c6c8330cdcb91a: WebShell – Arkasında (1235a.aspx)
– 73cdd1be414dec81c6e42b83f0d04f20: WebShell – Arkasında (12345a.aspx)
– 7e9f28cedfa8b012ab8646ac341a841c: BadPotato (bad1231.exe)
– 8cf601c06370612010f438fa8faa8aa7: Cpolar (cpolar.exe)
– e2753e9bc7e5880a365f035cdc5f6e77: Koşucu (1.bat)
– 205e6247f5a0dce8a55910354c816a61: ZamanlamaGörevi (1.xml)
– e13adb67739f4b485544ed99bc29f618: NSSM (service.exe)
– f3bdcd409063a42479dbb162dc7f5d21: CoinMiner indiricisi (svchost.exe)
– fce1b5ffcaefd1dcb130f4e11cdb488d: CoinMiner indiricisi (sihost.exe)
– a66338d9ba331efa4918e2d6397b17fe: CoinMiner (SecurityHealthServices.exe)
– 40dc8989d4b2e3db0a9e98ef7082b0d9: WebShell – ASPXspy (aspx.txt)
– b69eb0155df920514d4ae8d44316d05a: WebShell – ASPXspy (good.txt)
– 285b5f246f994b4650475db5143e4987: WebShell – Caidao (index.txt)
– 7e1a2828650e707d8142d526604f4061: BadPotato (bad.exe)
– 83b66aae624690e82c8e011e615bce59: BadPotato (bad520.exe)
– 5f3dd0514c98bab7172a4ccb2f7a152d: GodPotato (god3.exe)
– 1fdb1dd742674d3939f636c3fc4b761f: TanrıPotato (god4.exe)
– 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (P2.exe)
– 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (P3.exe)
– 7727070eb8c69773cafb09ce77492c27: PrintNotifyPotato (P4.exe)
– f7d53946b3ae7322cd018480a2f47de8: IIS LPE (iislpe.exe)
– 10cf4d43163ee395ddad1fe7e777e2c9: IIS LPE(iislpe1.exe);
– f222524766456936074f513cec2149a8: Cpolar (cpo.exe)
– d6f84855f212400314fb72d673aba27b: Frpc (F.exe)
– 62ba55ac729763037da1836b46cb84bc: Frpc (frpc.exe)
– 3c5905da1f3aecd2dccc05f6b76a1ca9: Frpc Yapılandırması (frpc.txt)
– ce1f3b789b2aab2b2b833343f13b7c98: Lcx (99.exe)
– 371a2eb2800bb2beccc1a975f3073594: Lcx (Lcx.exe)
– 7abca4faa3609f86f89f1a32fe7bbcc6: UserAdder (UserAdd.exe)
– e8a7e8bb090da018b96aab3a66c7adeb: UserAdder Komutu (net.txt)
– 5d9464aba77e1830e1cf8d6b6e14aa55: UserAdder Komutu (useradd.bat)
İkinci Saldırı Vakası: –
– 71a6ba713f3f5c8e24c965487a86b5d4: WebShell – Kıyıcı (zbngjv.aspx)
– 93abe2fcb964ec91de7d75c52d676d2d: WebShell – Kıyıcı (bin.aspx)
– 2c3de1cefe5cd2a5315a9c9970277bd7: WebShell – Godzilla (aaa.ashx)
– 69c7d9025fa3841c4cd69db1353179cf: WebShell – Godzilla (aaa.asmx)
– 7871587d8de06edc81c163564ea4ea41: WebShell – awen (cmd.aspx)
– 10b6e46e1d4052b2ad07834604339b57: WebShell – Arkasında (hi1.aspx)
– 5eeda9bfb83aacb9c3f805f5a2d41f3b: WebShell – Silici (sklqbpbl.aspx)
– 5f3dd0514c98bab7172a4ccb2f7a152d: TanrıPotato (gp1.exe)
– 493aaca456d7d453520caed5d62fdc00: PrintNotifyPotato (pp.exe)
– 87562e70e958c0a0e13646f558a85d04: Ayrıcalık yükseltme aracı – CVE-2021-1732 (aa.aspx)
– 8f7dfbec116017d632ca77be578795fd: Fscan (fscan.exe)
– 5dcf26e3fbce71902b0cd7c72c60545b: NetCat (nc.exe)
– 523613a7b9dfa398cbd5ebd2dd0f4f38: NetCat (nc64.exe)
– d76e1525c8998795867a17ed33573552: EarthWorm (ew.exe)
– 5d93629fbc80fed017e1657392a28df4: Ladon (11.exe)
– e9cb6a37c43e0393d4c656bc9f6bf556: RingQ (ringq.exe)
– 705e5d7328ae381c5063590b4f5198da: CoinMiner indiricisi (gzrqo.aspx)
– b81577dbe375dbc1d1349d8704737adf: CoinMiner (aspx.exe)
C&C Sunucusu URL’leri
– 14.19.214[.]36:6666: NetCat
– 14.19.214[.]36:3333: NetCat
– 1.119.3[.]28:7455: Frpc
URL’leri indirin
– hxxp://sinmaxinter[.]top:7001/services.zip: CoinMiner
– hxxp://sinmaxinter[.]top:7001/C3-server25.zip: CoinMiner
–hxxp://14.19.214[.]36:6666/pp.exe: PrintNotifyPotato
–hxxp://14.19.214[.]36/aa.aspx: Ayrıcalık yükseltme aracı – CVE-2021-1732
–hxxp://14.19.214[.]36/fscan.exe: Fscan
–hxxp://14.19.214[.]36/ew.exe: EarthWorm
–hxxp://14.19.214[.]36/11.exe: Ladon
–hxxp://14.19.214[.]36/RingQ.exe: RingQ
–hxxp://45.130.22[.]219/aspx.exe: CoinMiner
–hxxp://192.210.206[.]76/sRDI.dat: CoinMiner
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free