Bron

Leestijd 10 min

Na onze eerdere ontdekking van Owowa, zijn we verder gegaan met de jacht op meer achterdeurtjes die mogelijk zijn opgezet als kwaadaardige modules binnen IIS, een populaire webserver die door Microsoft wordt uitgegeven. En we kwamen niet met lege handen terug... In 2021 zagen we een trend onder verschillende bedreigers om een achterdeur in IIS te implementeren na misbruik te hebben gemaakt van een van de ProxyLogon-achtige kwetsbaarheden in Microsoft Exchange-servers. Door een IIS-module als achterdeur te gebruiken, kunnen bedreigers hardnekkige, updatebestendige en relatief heimelijke toegang tot de IT-infrastructuur van een beoogde organisatie behouden; of het nu gaat om het verzamelen van e-mails, het bijwerken van verdere kwaadaardige toegang, of het clandestien beheren van gecompromitteerde servers die kunnen worden gebruikt als kwaadaardige infrastructuur. In het begin van 2022, onderzochten we zo'n IIS achterdeur: SessionManager. Eind april 2022 waren de meeste van de door ons geïdentificeerde samples nog steeds niet als kwaadaardig gemarkeerd door een populaire online bestandsscanservice, en SessionManager was nog steeds in meer dan 20 organisaties geïmplementeerd. SessionManager is gebruikt tegen NGO's, overheids-, militaire en industriële organisaties in Afrika, Zuid-Amerika, Azië, Europa, Rusland en het Midden-Oosten, vanaf ten minste maart 2021. Vanwege de vergelijkbare slachtoffers en het gebruik van een gemeenschappelijke OwlProxy-variant, denken wij dat de kwaadaardige IIS-module door de GELSEMIUM-bedreiger kan zijn gebruikt als onderdeel van spionageactiviteiten. SessionManager: er is weer een ongewenste module in uw webserver SessionManager, ontwikkeld in C++, is een kwaadaardige IIS-module met native code die door sommige IIS-toepassingen moet worden geladen om legitieme HTTP-verzoeken te verwerken die voortdurend naar de server worden gestuurd. Dergelijke kwaadaardige modules verwachten gewoonlijk schijnbaar legitieme maar specifiek opgestelde HTTP-verzoeken van hun operatoren, zetten acties in gang op basis van de eventuele verborgen instructies van de operatoren, en geven het verzoek dan transparant door aan de server zodat het net als elk ander verzoek kan worden verwerkt (zie figuur 1). SessionManager biedt de volgende mogelijkheden die, wanneer gecombineerd, het tot een lichtgewicht persistente backdoor voor initiële toegang maken: - Lezen, schrijven naar en verwijderen van willekeurige bestanden op de gecompromitteerde server.

2 maanden geleden - securelist.com

Korte versie

In onze reeks brieven van Afrikaanse journalisten bekijkt Chris Stokel-Walker van de BBC hoe misbruik is gemaakt van een kwetsbaarheid in het Internet Explorer-systeem.

Uitgebreide versie

Na onze eerdere ontdekking van Owowa, zijn we verder gegaan met de jacht op meer achterdeurtjes die mogelijk zijn opgezet als kwaadaardige modules binnen IIS, een populaire webserver die door Microsoft wordt uitgegeven. In 2021 zagen we een trend onder verschillende bedreigers om een achterdeur in IIS te implementeren na misbruik te hebben gemaakt van een van de ProxyLogon-achtige kwetsbaarheden in Microsoft Exchange-servers. Door een IIS-module als achterdeur te gebruiken, kunnen bedreigers hardnekkige, updatebestendige en relatief heimelijke toegang tot de IT-infrastructuur van een beoogde organisatie behouden; of het nu gaat om het verzamelen van e-mails, het bijwerken van verdere kwaadaardige toegang, of het clandestien beheren van gecompromitteerde servers die kunnen worden gebruikt als kwaadaardige infrastructuur.

Vergelijkbare publicaties

In het artikel genoemde namen van organisaties

article image

Gevonden topics

malware

62%