0
0
Os shells da China Chopper Web são uma ameaça mais antiga que causa novos problemas para muitas organizações alvo de ataques contínuos contra servidores microsoft exchange vulneráveis em todo o mundo.
Desde que a Microsoft corrigiu uma série de dias zero do Exchange Server em 2 de março, o que antes era ataques “limitados e direcionados” rapidamente se tornou um problema global à medida que os atacantes armavam as falhas críticas. As empresas de segurança que acompanham a atividade, incluindo FireEye e Red Canary,notaram que os shells da China Chopper Web desempenharam um papel consistente em seus padrões de ataque observados.
Menos de duas semanas após a divulgação das falhas, a Agência de Segurança cibernética e infraestrutura (CISA) do DHS atualizou sua orientação sobre as vulnerabilidades para incluir sete shells da China Chopper Web conectados a ataques bem-sucedidos contra servidores de intercâmbio vulneráveis.
China Chopper não é um novo pedaço de malware. Pesquisadores do FireEye publicaram pela primeira vez pesquisas sobre a ameaça em 2013; Especialistas da Cisco Talos dataram amostras até 2010. É um backdoor bastante simples que permite que os criminosos acessem remotamente uma rede de alvos e ganhem controle remoto.
Um shell da Web normalmente tem partes do lado do cliente e do lado do servidor. O China Chopper tem um binário de comando e controle (C2) e uma carga de shell web baseada em texto que funciona como o componente do servidor. Como os pesquisadores do FireEye observam em um relatório inicial sobre a ameaça, essa carga baseada em texto é tão simples que um invasor poderia digitá-lo manualmente em um servidor de destino sem a necessidade de uma transferência de arquivo.
“[Ele] era notável na época porque era muito menor do que alguns dos outros shells da Web que eram comumente usados e ainda tinha um conjunto completo de recursos”, diz Ben Read, diretor de análise de espionagem cibernética da Mandiant. “Por ser menor e mais sucintamente escrito, foi na época captado por menos antivírus.”
Há várias maneiras de a China Chopper entrar em uma rede de alvos. Alguns invasores empregam zero-dias, como visto nos ataques do Exchange Server, mas mais frequentemente eles visam versões antigas de software em execução em servidores voltados para a Web. Isso geralmente inclui software de administração de sites, servidores VPN ou e-mail, observa.
A partir daí, é uma pequena, mas poderosa ferramenta pós-exploração. Uma vez em um alvo, o China Chopper pode ser usado para executar remotamente comandos do sistema operacional e realizar atividades como carregar e executar ferramentas adicionais, pivotar para outros sistemas e exfiltrar dados. Ele pode verificar onde o servidor está, o que está conectado e onde pivotar dentro da rede.
“É menos uma funcionalidade específica que ele tem, do que permite o acesso total à máquina e, em seguida, o invasor pode fazer o que quiser”, explica Read. Os shells da Web funcionam melhor quando estão em um servidor voltado para a Internet, porque o invasor pode chamá-lo diretamente. Um backdoor, em contraste, geralmente inicia uma chamada a partir do ponto na rede corporativa onde reside.
Servidores web e servidores de troca são alvos atraentes porque, como ele observa, eles são menos propensos a executar ferramentas de detecção e resposta de ponto final (EDR). “Você deve – é uma prática recomendada, mas não é incomum que não haja uma”, acrescenta Read. Há menos de uma corrida armamentista para evitar ferramentas antivírus em conchas da Web porque as ferramentas não são tão frequentemente implantadas.
China Chopper apela aos atacantes porque é fácil de usar, mas difícil de detectar, explica Aviad Hasnis, CTO da Cynet. Sua natureza leve ajuda os atacantes a voar sob o radar e evitar a detecção.
“A parte de trás, a parte de comando e controle, é muito simples”, diz ele. “Ele tem uma interface gráfica [e] suporta diferentes tipos de linguagens de programação, seja a web shell em PHP ou ASP ou Jscript.” O GUI permite que o invasor realize atividades com uma interface de ponto e clique, bem como uma tela de linha de comando.
A discrição e a simplicidade do China Chopper fizeram dele uma ferramenta de ataque usada em todo o mundo.
Em seus primeiros dias, o shell web era fortemente usado por grupos chineses que acreditavam operar em apoio ao governo da China. Agora não é mais exclusivo de grupos estatais chineses, mas enquanto eles continuam a usar o China Chopper, agora é negociado entre os atacantes globais – atores avançados e menos qualificados o usam.
“Vimos [isso] em atividades recentes utilizando infraestrutura situada em solo americano, mas ainda há alvos generalizados do Oriente Médio, do Oriente Médio, do Extremo Oriente, da Europa Ocidental e Oriental e, claro, nos Estados Unidos, é uma operação global”, diz Shiran Grinberg, gerente da CyOps na Cynet. Não há nenhum país ou continente específico visado com a concha China Chopper Web.
A Cynet observou vários grupos avançados usando o China Chopper, incluindo Calypso, APT27, APT41, SoftCell, Leviatã, BronzeButler e Tonto Team, entre outros. Grinberg observa que houve uso adicional do China Chopper que não foi conectado a um grupo específico. Os dados da Cynet indicam que grande parte de sua atividade está focada nos setores financeiro e de energia, mas não se limita a essas indústrias.
Sua natureza generalizada faz do China Chopper um ajuste ideal para os ataques generalizados do Microsoft Exchange Server. Um atacante que tem como alvo milhares de máquinas será inevitavelmente capturado; como resultado, eles não querem usar uma capacidade que as pessoas não sabem ou que querem permanecer em segredo. Há uma maior probabilidade de uma camada web comum como o China Chopper ser detectada do que uma nova; no entanto, o grupo de ataque não está desperdiçando uma capacidade de romance escondido.
Durante todos os anos em que esteve em uso, o shell da China Chopper Web permaneceu em grande parte inalterado, diz Vanja Svajcer, pesquisadora de ameaças da Cisco Talos, que diz que não é incomum que um web shell esteja em uso por esse período de tempo.
“Houve modificações em seu cliente para facilitar seu uso para os atacantes, mas muito pouco mudou no lado do servidor”, diz ele. “O servidor simplesmente recebe código executável do componente cliente e este código executável é interpretado pelo ambiente de execução, PHP ou .NET ASP.”
A maioria das mudanças que foram feitas no China Chopper tem a intenção de escondê-lo melhor, diz Read. Embora sua funcionalidade tenha permanecido a mesma, os atacantes podem colocar invólucros ao seu redor ou codificá-los para evitar a detecção por ferramentas de segurança.
FONTE: DARK READING