Siber güvenlik araştırmacıları, Microsoft Internet Bilgi Hizmetleri (IIS) sunucularını hedefleyen sofistike bir web kabuğu saldırısı ortaya çıkardılar ve tehdit aktörlerinin tehlikeye atılmış sistemler üzerinde tam bir uzaktan kumanda elde etmelerini sağladı.
“Updatechecker.aspx” olarak tanımlanan kötü amaçlı komut dosyası, kritik altyapıya kalıcı erişimi sürdürürken tespitten kaçınmak için gelişmiş gizleme teknikleri kullanan web kabuğu karmaşıklığında önemli bir artışı temsil eder.
Saldırı, tehdit aktörlerinin tehlikeye atılan sistemlere başarılı bir şekilde birden fazla web kabuğu sunucusu konuşlandırdığı Orta Doğu’daki kritik ulusal altyapıyı hedefleyen siber müdahalelere yönelik daha geniş bir soruşturmadan ortaya çıktı.
Basit PHP veya ASP komut dosyalarına dayanan geleneksel web mermilerinin aksine, bu varyant, bir ASPX web sayfası dosyasına gömülü yoğun bir şekilde gizlenmiş C# kodundan yararlanarak, analizi güvenlik ekipleri için önemli ölçüde daha zorlayıcı hale getirir.
.webp)
Fortinet araştırmacıları Xiaopeng Zhang ve John Simmons, Orta Doğu altyapı ihlalinin takip analizi sırasında kötü amaçlı yazılımları belirlediler, sofistike tasarımına ve etkilenen kuruluşlar üzerindeki potansiyel olarak yıkıcı etkisine dikkat çekti.
Web kabuğunun Windows IIS ortamlarında sorunsuz bir şekilde çalışabilme yeteneği, gelişmiş gizleme teknikleri yoluyla gizliliği korur.
Kötü amaçlı yazılım, saldırganlara tehlikeye atılan Windows sistemleri üzerinde kapsamlı kontrol sağlayan yüksek şiddetli sonuçlarla çalışır.
.webp)
Dağıtım, Web uygulamalarını ve hizmetlerini barındırmak için kurumsal ortamlarda yaygın olarak kullanılan IIS sunucularını hedefler, bu da organizasyonel ağlarda uzun vadeli kalıcılık oluşturmak isteyen tehdit aktörleri için değerli bir varlık haline getirir.
Teknik mimari ve gizleme mekanizmaları
UpdateChecker.aspx Web Kabuğu, çok katmanlı gizleme yaklaşımı ile dikkate değer teknik gelişmişlik gösterir.
Kötü amaçlı yazılımların C# CodeBase, imza tabanlı algılamayı önlemek için rastgele oluşturulan yöntem adları, değişken adları ve sınıf adları dahil tüm okunabilir öğeler için Unicode kodlama kullanır. Ek olarak, tüm sabit değerler, dizeler ve sayısal veriler derlemeden önce şifreleme veya kodlama işlemlerine tabi tutulur.
Web kabuğunun iletişim protokolü, “Uygulama/Octet-Stream” olarak ayarlanmış belirli içerik tipi başlıklara sahip HTTP Post istekleri gerektirir.
.webp)
Komut Data İletimi, istenen işleme bağlı olarak isteğe bağlı parametrelerle birlikte protokolversion, moduleName ve RequestName gibi zorunlu anahtarları içeren yapılandırılmış bir JSON formatını takip eder.
| Modulename | İstek adı | Parametreler |
|---|---|---|
| Temel | GetBasicserverinfo | |
| Temel | GetBasicserverApplicationInfo | |
| Komuta | Yürütme | WorkingDirectory, komut |
| Filanager | Getdrives | |
| Filanager | GetdriveInformation | Drivename |
| Filanager | Gebrable | |
| Filanager | GetFilesystemslist | Yol |
| Filanager | CreateTirectory | Yol, dizin adı |
| Filanager | Kopya | SourcePath, DestinationPath, Dizin Adı, OverwriteAllow |
| Filanager | Taşıma | SourcePath, DestinationPath, Dizin Adı, OverwriteAllow |
| Filanager | Silme | Yol |
| Filanager | GetDirectoryinformation | Yol |
| Filanager | SetDirectoryTime | Path, CreationTimeutc, LastModiedTimeutc, LastAccessTimeutc |
| Filanager | SetDirectoryAttributes | Yol, Nitelikler |
| Filanager | Yaratık | Yol, dosya adı |
| Filanager | Kopya dosyası | SourcePath, DestinationPath, OverwriteAllow, Dosya Adı |
| Filanager | Taşıt | SourcePath, DestinationPath, OverwriteAllow, Dosya Adı |
| Filanager | Silme | Yol |
| Filanager | GetFilecontent | Yol |
| Filanager | Setfilecontent | Yol, dosya, dosya adı |
| Filanager | GetFileInformation | Yol |
| Filanager | SetfileTime | Path, CreationTimeutc, LastModiedTimeutc, LastAccessTimeutc |
| Filanager | SetFileattributes | Yol, Nitelikler |
| Filanager | Searchbyname | Yol, Anahtar Kelime, MatchCase, Matchword |
| Filanager | SearchByContent | Yol, Filetypes, Anahtar Kelime, MatchCase |
| Filanager | ReplaceFileContent | Path, Filetypes, Bulun, Değiştir, MatchCase, UsereGularexpression |
| Filanager | GetPathSarator |
Kötü amaçlı yazılım, ilk 16 baytın sabit kodlu değerler kullanan şifreli bir anahtar içerdiği, ardından türetilmiş 15 bayt anahtarla şifrelenmiş komut verileri içerdiği çift şifreleme şeması uygular.
İşlevsel olarak, Web kabuğu yeteneklerini üç farklı modül halinde düzenler: sistem keşifleri için temel, Windows komutlarını IIS ayrıcalıklarıyla yürütmek için komuta ve kapsamlı dosya sistem işlemleri için filemanager.
Bu modüler mimari, saldırganların başlangıç sistem numaralandırmasından gelişmiş dosya manipülasyonuna ve komut yürütmesine kadar çeşitli kötü amaçlı etkinlikler gerçekleştirmesini sağlarken, meşru IIS sunucusu etkinliğinin görünümünü korur.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi