Servidores de Microsoft Exchange en todo el mundo afectados por una nueva puerta trasera sigilosa

Servidores de Microsoft Exchange en todo el mundo afectados por una nueva puerta trasera sigilosa

imágenes falsas

Los investigadores han identificado un nuevo malware sigiloso que los actores de amenazas han estado usando durante los últimos 15 meses en los servidores de Microsoft Exchange de puerta trasera después de haber sido pirateados.

Apodado SessionManager, el software malicioso se hace pasar por un módulo legítimo para Internet Information Services (IIS), el servidor web instalado de forma predeterminada en los servidores de Exchange. Las organizaciones a menudo implementan módulos IIS para optimizar procesos específicos en su infraestructura web. Investigadores de la firma de seguridad Kaspersky han identificado 34 servidores pertenecientes a 24 organizaciones que han sido infectados con SessionManager desde marzo de 2021. A principios de este mes, kaspersky dijo20 organizaciones permanecieron infectadas.

Sigilo, persistencia, poder

Los módulos IIS maliciosos ofrecen un medio ideal para implementar puertas traseras potentes, persistentes y sigilosas. Una vez instalados, responderán a las solicitudes HTTP específicamente diseñadas y enviadas por el operador para indicarle al servidor que recopile correos electrónicos, agregue más acceso malicioso o use los servidores comprometidos con fines clandestinos. Para el ojo inexperto, las solicitudes HTTP parecen normales, a pesar de que le dan al operador un control total sobre la máquina.

“Dichos módulos maliciosos generalmente esperan solicitudes HTTP aparentemente legítimas pero diseñadas específicamente de sus operadores, desencadenan acciones basadas en las instrucciones ocultas de los operadores, si las hay, y luego pasan la solicitud de forma transparente al servidor para que se procese como cualquier otra solicitud”, Kaspersky escribió el investigador Pierre Delcher. “Como resultado, estos módulos no se detectan fácilmente mediante las prácticas habituales de monitoreo: no necesariamente inician comunicaciones sospechosas a servidores externos, reciben comandos a través de solicitudes HTTP a un servidor que está específicamente expuesto a tales procesos y sus archivos a menudo se colocan en Ubicaciones pasadas por alto que contienen muchos otros archivos legítimos”.

kaspersky

Una vez que se implementa SessionManager, los operadores lo utilizan para perfilar aún más el entorno infectado, recopilar contraseñas almacenadas en la memoria e instalar herramientas adicionales, incluida una Cargador reflectante basado en PowerSploit

, Imitando SSP, ProcDumpy una herramienta legítima de volcado de memoria de Avast. Kaspersky obtuvo múltiples variantes de SessionManager que se remontan al menos a marzo de 2021. Las muestras muestran una evolución constante que ha agregado más funciones con cada nueva versión. La versión más reciente del módulo malicioso incluye lo siguiente:

Nombre del comando
(valor de la cookie SM_SESSION)
Parámetros de comando
(galletas adicionales)
capacidad asociada
OBTENER EL ARCHIVO FILEPATH: ruta del archivo a leer. FILEPOS1: desplazamiento en el que comenzar a leer, desde el inicio del archivo.

FILEPOS2: número máximo de bytes a leer.

Lea el contenido de un archivo en el servidor comprometido y envíelo al operador como un archivo binario HTTP llamado cool.rar.
PUTFILE FILEPATH: ruta del archivo a escribir.

FILEPOS1: desplazamiento en el que comenzar a escribir.

FILEPOS2: referencia de compensación.

FILEMODE: tipo de acceso al archivo solicitado.

Escriba contenido arbitrario en un archivo en el servidor comprometido. Los datos que se escribirán en el archivo especificado se pasan dentro del cuerpo de la solicitud HTTP.
BORRAR ARCHIVO FILEPATH: ruta del archivo a eliminar. Eliminar un archivo en el servidor comprometido.
TAMAÑO DEL ARCHIVO FILEPATH: ruta del archivo a medir. Obtiene el tamaño (en bytes) del archivo especificado.
CMD Ninguna. Ejecute un proceso arbitrario en el servidor comprometido. El proceso a ejecutar y sus argumentos se especifican en el cuerpo de la solicitud HTTP con el formato: \t. La salida estándar y los datos de error de la ejecución del proceso se devuelven como texto sin formato al operador en el cuerpo de la respuesta HTTP.
SILBIDO Ninguna. Compruebe la implementación de SessionManager. El “Funcionamiento OK” (sic.) se enviará un mensaje al operador en el cuerpo de la respuesta HTTP.
S5CONECTAR S5HOST: nombre de host para conectarse (exclusivo con S5IP).

S5PORT: desplazamiento en el que comenzar a escribir.

S5IP: dirección IP para conectarse si no se proporciona un nombre de host (exclusivo con S5HOST).

S5TIMEOUT: retraso máximo en segundos para permitir la conexión.

Conéctese desde un host comprometido a un punto final de red específico, utilizando un socket TCP creado. El identificador entero del socket creado y conectado se devolverá como el valor de la variable de cookie S5ID en la respuesta HTTP, y el estado de la conexión se informará en el cuerpo de la respuesta HTTP.
S5ESCRIBE S5ID: identificador del socket para escribir, como lo devuelve S5CONNECT. Escribir datos en el socket conectado especificado. Los datos que se escribirán en el socket especificado se pasan dentro del cuerpo de la solicitud HTTP.
S5LEER S5ID: identificador del socket para leer, como lo devuelve S5CONNECT. Leer datos del socket conectado especificado. Los datos leídos se devuelven dentro del cuerpo de la respuesta HTTP.
S5CERRAR S5ID: identificador del socket a cerrar, tal y como lo devuelve S5CONNECT. Terminar una conexión de socket existente. El estado de la operación se devuelve como un mensaje dentro del cuerpo de la respuesta HTTP.

¿Recuerda ProxyLogon?

SessionManager se instala después de que los actores de amenazas hayan explotado vulnerabilidades conocidas como ProxyLogon dentro de los servidores de Microsoft Exchange. Kaspersky lo ha encontrado infectando a ONG, gobiernos, militares y organizaciones industriales en África, América del Sur, Asia y Europa.

kaspersky

Kaspersky dijo que tiene una confianza media a alta de que un actor de amenazas previamente identificado que los investigadores llaman Gelsemium ha estado implementando SessionManager. La firma de seguridad ESET publicó un inmersión profunda en el grupo (PDF) el año pasado. La atribución de Kaspersky se basa en la superposición del código utilizado por los dos grupos y las víctimas objetivo.

Desinfectar servidores que han sido atacados por SessionManager o módulos IIS maliciosos similares es un proceso complicado. La publicación de Kaspersky contiene indicadores que las organizaciones pueden usar para determinar si se han infectado y los pasos que deben seguir en caso de que se hayan infectado.

Leave a Reply

Your email address will not be published. Required fields are marked *