MKD-CIRT National Centre for Computer Incident Response
Севернокорејските хакери поддржани од страна на државата, познати како Lazarus група, сега ги таргетираат ранливите Windows Internet Information Services (IIS) веб сервери за да добијат првичен пристап до корпоративните мрежи.
Lazarus првенствено е финансиски мотивирана група, а многу аналитичари веруваат дека малициозните активности на хакерите помагаат во финансирањето на програмите за развој на оружје на Северна Кореја. Меѓутоа, групата била вклучена и во неколку шпионски операции.
Најновата тактика на таргетирање на Windows IIS серверите беше откриена од страна на јужнокорејски истражувачи во AhnLab Security Emergency Response Center (ASEC).
Windows Internet Information Services (IIS) веб серверите се користат од страна на организации од сите големини за хостирање на веб-содржини како што се сајтови, апликации и услуги, како што е Microsoft Exchange Outlook на Интернет.
Тоа е флексибилно решение кое е достапно од лансирањето на Windows NT, поддржувајќи ги HTTP, HTTPS, FTP, FTPS, SMTP и NNTP протоколите.
Меѓутоа, ако серверите се лошо управувани или застарени, тие можат да дејствуваат како влезни точки на мрежата за хакерите.
Претходно, Symantec објави дека хакери шират малициозен софтвер на IIS за извршување на команди на пробиените системи преку веб-барања, избегнувајќи откривање од страна на безбедносните алатки.
Посебен извештај откри дека хакерската група наречена „Cranfly“ користела непозната техника за контрола на малициозен софтвер со користење на IIS веб сервер логови.
Lazarus најпрво добива пристап до IIS серверите користејќи познати пропусти или погрешни конфигурации кои им овозможуваат на хакерите да креираат датотеки на IIS серверот користејќи го w3wp.exe процесот.
Хакерите пуштаат „Wordconv.exe“, легитимна датотека што е дел од Microsoft Office, малициозен DLL („msvcr100.dll“) во истата папка и кодирана датотека со име „msvcr100.dat“.
По стартувањето на „Wordconv.exe“, малициозниот код во DLL се вчитува за да се дешифрира извршната датотека кодирана со Salsa20 од msvcr100.dat и да се изврши во меморијата каде што антивирусните алатки не можат да го откријат.
ASEC откри неколку сличности со кодот помеѓу „msvcr100.dll“ и друг малициозен софтвер што го забележа минатата година, „cylvc.dll“, кој беше користен од страна на Lazarus за да ги оневозможи програмите против малициозен софтвер користејќи ја „bring your own vulnerable driver“ техниката.
Оттука, ASEC ја смета новооткриената DLL-датотека за нова варијанта на истиот малициозен софтвер.
Во втората фаза од нападот, Lazarus создава втор малициозен софтвер (‘diagn.dll’) со искористување на Notepad++.
Вториот малициозен софтвер добива нов payload кодиран со алгоритмот RC6, го дешифрира со помош на хард-кодиран клуч и го извршува во меморијата поради евазија.
ASEC не можеше да утврди што направи овој payload на пробиениот систем, но забележа знаци на LSASS што укажува на активност на кражба на акредитиви.
Последниот чекор од Lazarus нападот беше да се изврши мрежно извидување и странично движење преку 3389 портата (Remote Desktop) користејќи валидни кориснички акредитиви, веројатно украдени во претходниот чекор.
Сепак, ASEC не откри никакви дополнителни малициозни активности откако хакерите се проширија странично на мрежата.
Бидејќи Lazarus во голема мера се потпира на DLL странично оптоварување како дел од нивните напади, ASEC препорачува организациите да следат за ненормално извршување на процесот.
„Конкретно, бидејќи хакерската група првенствено ја користи техниката на странично DLL вчитување за време на нивните првични инфилтрации, компаниите треба проактивно да ги следат абнормалните односи на извршување на процесите и да преземат превентивни мерки за да ги спречат хакерите да извршуваат активности како што се ексфилтрација на информации и странично движење. “ стои во извештајот на ASEC.
Извор: BleepingComputer
