Istraživači sajber sigurnosti otkrili su sofisticirani web shell napad usmjeren na Microsoft Internet Information Services (IIS) servere, omogućavajući prijetnjama potpunu daljinsku kontrolu nad kompromitovanim sistemima.
Maliciozni skript, identifikovan kao “UpdateChecker.aspx”, predstavlja značajno povećanje složenosti web shell-a, koristeći napredne tehnike obfuskacije kako bi izbjegao otkrivanje, a istovremeno održao stalan pristup kritičnoj infrastrukturi.
Napad je proizašao iz šire istrage o sajber upadima usmjerenim na kritičnu nacionalnu infrastrukturu na Bliskom istoku, gdje su akteri prijetnji uspješno rasporedili više web shell servera na kompromitovanim sistemima.
Za razliku od tradicionalnih web ljuski koje se oslanjaju na jednostavne PHP ili ASP skripte, ova varijanta koristi jako obfusirani C# kod ugrađen unutar ASPX datoteke web stranice, što analizu čini znatno izazovnijom za sigurnosne timove.
.webp)
Istraživači Fortineta, Xiaopeng Zhang i John Simmons, identifikovali su maliciozni softver tokom naknadne analize kršenja infrastrukture na Bliskom istoku, ističući njegov sofisticirani dizajn i potencijalno razoran utjecaj na pogođene organizacije.
Sposobnost web shell-a da besprijekorno funkcioniše unutar Windows IIS okruženja, a istovremeno održava prikrivenost putem naprednih tehnika zamagljivanja, čini je posebno opasnom za poslovna okruženja.
Maliciozni softver djeluje s vrlo ozbiljnim implikacijama, dajući napadačima sveobuhvatnu kontrolu nad kompromitovanim Windows sistemima.
.webp)
Njegova implementacija je posebno usmjerena na IIS servere , koji se obično koriste u poslovnim okruženjima za hosting web aplikacija i usluga, što ga čini vrijednim resursom za hakere koji žele uspostaviti dugoročnu postojanost unutar organizacijskih mreža.
Tehnička arhitektura i mehanizmi za obfuskaciju
Web shell-a UpdateChecker.aspx demonstrira izuzetnu tehničku sofisticiranost kroz svoj višeslojni pristup obfuskaciji.
C# kodna baza malicioznog softvera koristi Unicode kodiranje za sve čitljive elemente, uključujući nazive metoda, nazive varijabli i nazive klasa, koji se nasumično generišu kako bi se spriječilo otkrivanje na osnovu potpisa. Osim toga, sve konstantne vrijednosti, stringovi i numerički podaci prolaze kroz procese šifrovanja ili kodiranja prije kompajliranja.
Komunikacijski protokol web shell-a zahtijeva HTTP POST zahtjeve sa specifičnim zaglavljima tipa sadržaja postavljenim na „application/octet-stream“.
.webp)
Prenos podataka komande prati strukturirani JSON format koji uključuje obavezne ključeve kao što su ProtocolVersion, ModuleName i RequestName, zajedno s opcionalnim parametrima ovisno o traženoj operaciji.
| Naziv modula | Naziv zahtjeva | Parametri |
|---|---|---|
| Baza | GetBasicServerInfo | |
| Baza | GetBasicServerApplicationInfo | |
| CommandShell | Izvrši naredbu | Radni direktorij, naredba |
| Upravitelj datoteka | GetDrives | |
| Upravitelj datoteka | GetDriveInformation | Naziv diska |
| Upravitelj datoteka | GetWebRoot | |
| Upravitelj datoteka | GetFileSystemsList | Put |
| Upravitelj datoteka | Kreiraj direktorij | Putanja, Naziv direktorija |
| Upravitelj datoteka | Kopiraj direktorij | IzvornaPutanja, OdredišnaPutanja, NazivDirektorija, DozvoliPrepisivanje |
| Upravitelj datoteka | Premjesti direktorij | IzvornaPutanja, OdredišnaPutanja, NazivDirektorija, DozvoliPrepisivanje |
| Upravitelj datoteka | Obriši direktorij | Put |
| Upravitelj datoteka | GetDirectoryInformation | Put |
| Upravitelj datoteka | PostaviVrijemeDirectoryja | Putanja, UTC vremena kreiranja, UTC posljednje izmjene, UTC posljednjeg pristupa |
| Upravitelj datoteka | Postavi atribute direktorija | Putanja, Atributi |
| Upravitelj datoteka | KreirajDatoteku | Putanja, Naziv datoteke |
| Upravitelj datoteka | Kopiraj datoteku | IzvornaPutanja, OdredišnaPutanja, DozvoljenoPrepisivanje, NazivDatoteke |
| Upravitelj datoteka | Premjesti datoteku | IzvornaPutanja, OdredišnaPutanja, DozvoljenoPrepisivanje, NazivDatoteke |
| Upravitelj datoteka | Izbriši datoteku | Put |
| Upravitelj datoteka | GetFileContent | Put |
| Upravitelj datoteka | SetFileContent | Putanja, Sadržaj datoteke, Naziv datoteke |
| Upravitelj datoteka | GetFileInformation | Put |
| Upravitelj datoteka | PostaviVrijemeDatoteke | Putanja, UTC vremena kreiranja, UTC posljednje izmjene, UTC posljednjeg pristupa |
| Upravitelj datoteka | Postavi atribute datoteke | Putanja, Atributi |
| Upravitelj datoteka | PretražiPoImenu | Putanja, Ključna riječ, MatchCase, MatchWord |
| Upravitelj datoteka | Pretraži po sadržaju | Putanja, Tipovi Datoteka, Ključna Riječ, Uparivanje Velikih i Sličnih Slova |
| Upravitelj datoteka | Zamijeni sadržaj datoteke | Putanja, Tipovi Datoteka, PronađiŠta, ZamijeniSa, MatchCase, KoristiRegularniIzraz |
| Upravitelj datoteka | GetPathSeparator |
Maliciozni softver implementira shemu dvostrukog šifrovanja gdje prvih 16 bajtova sadrži šifrovani ključ korištenjem čvrsto kodiranih vrijednosti, nakon čega slijede podaci naredbi šifrovanim izvedenim ključem od 15 bajtova.
Funkcionalno, web shell organizuje svoje mogućnosti u tri različita modula: Base za izviđanje sistema , CommandShell za izvršavanje Windows naredbi s IIS privilegijama i FileManager za sveobuhvatne operacije sistema datoteka.
Ova modularna arhitektura omogućava napadačima da izvršavaju razne maliciozne aktivnosti , od početnog nabrajanja sistema do napredne manipulacije datotekama i izvršavanja naredbi, a sve to uz održavanje privida legitimne aktivnosti IIS servera.
Izvor: CyberSecurityNews
