Windows IIS webszerverek kerültek az észak-koreai hackerek célkeresztjébe

A dél-koreai AhnLab Security Emergency Response Center (ASEC) arra figyelmeztet, hogy a hírhedt észak-koreai Lazarus APT csoport (APT38) sebezhető Windows IIS (Internet Information Services) webszervereket vett célba. A csoport elsősorban pénzügyi motivációból indít támadásokat, ezért kollektív fenyegtést jelent a szervezetekre nézve.

IIS szerverek elleni támadások

Az IIS webszervereket különböző méretű szervezetek használják webes tartalmak (webhelyek, alkalmazások, szolgáltatások stb.) tárolására. Ez a rugalmas megoldás a Windows NT bevezetése óta érhető el, és támogatja a HTTP, HTTPS, FTP, FTPS, SMTP és NNTP protokollokat is. Biztonsági probléma akkor merül fel, ha a szervereket a rendszerüzemeltetők rosszul konfigurálják vagy nem frissítik rendszeresen, ekkor ugyanis a belső hálózathoz kiváló belépési pontként szolgálhatnak a hackerek számára.

Az IIS-ek korábban is célponttá váltak: malware-támadásokról számolt be többek között a Symantec, illetve a tavaly ősszellátott napvilágot, hogy a „Cranfly” nevű hackercsoport az IIS webszerver naplóinak felhasználásával egy új technikát alkalmazott a rosszindulatú programok vezérlésére.

A Lazarus támadás folyamata

  1. A Lazarus először az IIS szerverekhez fér hozzá ismert sebezhetőségek vagy rossz konfigurációk kihasználásával, amelyek lehetővé teszik számukra, hogy a „w3wp.exe” folyamat segítségével fájlokat hozzanak létre a szerveren.
  2. A hackerek több fájlt helyeznek el egy mappába:
    1. a Microsoft Office részét képező legitim „Wordconv.exe” fájlt,
    2. egy rosszindulatú DLL-t (msvcr100.dll), és egy
    3. msvcr100.dat” nevű kódolt fájlt.
  3. A „Wordconv.exe” elindításakor a .dll fájlban lévő rosszindulatú kód betöltődik, hogy visszafejtse a Salsa20-szal kódolt futtatható fájlt az msvcr100.dat fájlból, és futtassa azt a memóriában, ahol a vírusirtó eszközök nem tudják felismerni.

Az ASEC számos kódhasonlóságot talált az „msvcr100.dll‘”és egy tavaly megfigyelt rosszindulatú szoftver, a „cylvc.dll” között, amelyet a Lazarus arra használt, hogy hatástalanítsa a rosszindulatú programok elleni védelmet. Éppen ezért az ASEC az újonnan felfedezett DLL fájlt ugyanannak a kártevőnek egy új változatának tekinti.

  1. A támadás második fázisában egy Notepad++ bővítményt kihasználva létrehozásra kerül egy második rosszindulatú program (diagn.dll). Ez a malware egy RC6 algoritmussal kódolt payloadot kap, azt egy hardcode-olt kulcs segítségével visszafejti, és a memóriában hajtja végre.
  2. A támadás utolsó lépése a hálózati felderítés és oldalirányú mozgás a (TCP/UDP) 3389-es porton (Remote Desktop) keresztül, a korábban ellopott érvényes felhasználói hitelesítő adatok felhasználásával.

Az ASEC elemzésében jelzi, hogy a Lazarus elsősorban DLL sideloading technikára épít, ezért szervezetek számára javasolja, a rendellenes folyamatfuttatás monitorozását, természetesen az IIS webszerverek hardeningje mellett.

(bleepingcomputer.com)

Támadásra utaló indikátorok (IoC-k):

DLL Side-loading fájlok:

  • C:\ProgramData\USOShared\Wordconv.exe
  • C:\ProgramData\USOShared\msvcr100.dll

MD5 hash-ek:

  • e501bb6762c14baafadbde8b0c04bbd6: diagn.dll
  • 228732b45ed1ca3cda2b2721f5f5667c: msvcr100.dll
  • 47d380dd587db977bf6458ec767fee3d: ? (Variant malware of msvcr100.dll)
  • 4d91cd34a9aae8f2d88e0f77e812cef7: cylvc.dll (Variant malware of msvcr100.dll)