A dél-koreai AhnLab Security Emergency Response Center (ASEC) arra figyelmeztet, hogy a hírhedt észak-koreai Lazarus APT csoport (APT38) sebezhető Windows IIS (Internet Information Services) webszervereket vett célba. A csoport elsősorban pénzügyi motivációból indít támadásokat, ezért kollektív fenyegtést jelent a szervezetekre nézve.
IIS szerverek elleni támadások
Az IIS webszervereket különböző méretű szervezetek használják webes tartalmak (webhelyek, alkalmazások, szolgáltatások stb.) tárolására. Ez a rugalmas megoldás a Windows NT bevezetése óta érhető el, és támogatja a HTTP, HTTPS, FTP, FTPS, SMTP és NNTP protokollokat is. Biztonsági probléma akkor merül fel, ha a szervereket a rendszerüzemeltetők rosszul konfigurálják vagy nem frissítik rendszeresen, ekkor ugyanis a belső hálózathoz kiváló belépési pontként szolgálhatnak a hackerek számára.
Az IIS-ek korábban is célponttá váltak: malware-támadásokról számolt be többek között a Symantec, illetve a tavaly ősszellátott napvilágot, hogy a „Cranfly” nevű hackercsoport az IIS webszerver naplóinak felhasználásával egy új technikát alkalmazott a rosszindulatú programok vezérlésére.
A Lazarus támadás folyamata
- A Lazarus először az IIS szerverekhez fér hozzá ismert sebezhetőségek vagy rossz konfigurációk kihasználásával, amelyek lehetővé teszik számukra, hogy a „w3wp.exe” folyamat segítségével fájlokat hozzanak létre a szerveren.
- A hackerek több fájlt helyeznek el egy mappába:
- a Microsoft Office részét képező legitim „Wordconv.exe” fájlt,
- egy rosszindulatú DLL-t (msvcr100.dll), és egy
- „msvcr100.dat” nevű kódolt fájlt.
- A „Wordconv.exe” elindításakor a .dll fájlban lévő rosszindulatú kód betöltődik, hogy visszafejtse a Salsa20-szal kódolt futtatható fájlt az msvcr100.dat fájlból, és futtassa azt a memóriában, ahol a vírusirtó eszközök nem tudják felismerni.
Az ASEC számos kódhasonlóságot talált az „msvcr100.dll‘”és egy tavaly megfigyelt rosszindulatú szoftver, a „cylvc.dll” között, amelyet a Lazarus arra használt, hogy hatástalanítsa a rosszindulatú programok elleni védelmet. Éppen ezért az ASEC az újonnan felfedezett DLL fájlt ugyanannak a kártevőnek egy új változatának tekinti.
- A támadás második fázisában egy Notepad++ bővítményt kihasználva létrehozásra kerül egy második rosszindulatú program (diagn.dll). Ez a malware egy RC6 algoritmussal kódolt payloadot kap, azt egy hardcode-olt kulcs segítségével visszafejti, és a memóriában hajtja végre.
- A támadás utolsó lépése a hálózati felderítés és oldalirányú mozgás a (TCP/UDP) 3389-es porton (Remote Desktop) keresztül, a korábban ellopott érvényes felhasználói hitelesítő adatok felhasználásával.
Az ASEC elemzésében jelzi, hogy a Lazarus elsősorban DLL sideloading technikára épít, ezért szervezetek számára javasolja, a rendellenes folyamatfuttatás monitorozását, természetesen az IIS webszerverek hardeningje mellett.