Hackers atacam servidor web IIS com falhas de desserialização

Views: 738
0 0
Read Time:4 Minute, 56 Second

Grupo de ameaças persistentes avançadas (APT), autodenominado Praying Mantis, usa malware personalizado para atacar servidores web IIS

O grupo de ameaças persistentes avançadas (APT) autodenominado Praying Mantis, cujos órgãos internacionais de cibersegurança suspeitam que seja patrocinado por algum governo, tem comprometido grandes organizações públicas e privadas desde o ano passado, explorando falhas de desserialização em aplicativos ASP.NET para implantar malware. 

Também chamado de TG1021, por pesquisadores da empresa de resposta a incidentes Sygnia, a gangue de hackers usa um conjunto de ferramentas de malware volátil e personalizado criado especificamente para atacar servidores web de IIS (Internet Information Services, ou serviços de informações da internet), para roubar credenciais e realizar o reconhecimento e movimento lateral.

“A natureza da atividade e o modus-operandi geral sugerem que o TG1021 seja um autor de ameaças furtivo, experiente e com amplo conhecimento sobre OpSec (segurança de operações)”, disseram os pesquisadores da Sygnia em um extenso e detalhado relatório. “O malware usado pelo TG1021 mostra um esforço significativo para evitar a detecção, tanto interferindo ativamente nos mecanismos de registro, evitando EDRs (Endpoint Detection and Response) com sucesso quanto aguardando silenciosamente as conexões de entrada, em vez de se conectar a um canal C2 e gerar tráfego continuamente. Além disso, a ameaça ator removeu ativamente todas as ferramentas residentes no disco depois de usá-las, efetivamente desistindo da persistência em troca da dissimulação.”

Em programação, a serialização é o processo de conversão de dados em um fluxo de bytes, geralmente para transmiti-los pela rede. A desserialização é a reversão desse processo e, como a maioria das operações de análise de dados em software, pode ser uma fonte de vulnerabilidades se os usuários controlarem a entrada. Falhas de desserialização tem afetado aplicativos Java há anos, mas esta não é a única linguagem de programação em que a desserialização é comum.

As vulnerabilidades exploradas pelo Praying Mantis têm como alvo as implementações de desserialização no ASP.NET, uma estrutura de código aberto para o desenvolvimento de aplicativos web hospedados em servidores web IIS do Windows. Ele foi visto explorando uma vulnerabilidade de execução remota de código (RCE) resultante da desserialização insegura em um aplicativo ASP.NET chamado Checkbox, que permite que proprietários de sites implementem pesquisas de usuários. 

O grupo que opera o Praying Mantis parece ter um bom entendimento das falhas de desserialização em geral, explorando o mecanismo de várias maneiras para movimento lateral e persistência. Por exemplo, mesmo se as novas versões do ASP.NET suportarem a verificação de integridade e criptografia ViewState, se as chaves de criptografia e validação forem roubadas ou vazadas, elas podem ser usadas para reinfectar o servidor ou infectar outros servidores do mesmo cluster que hospedam o mesmo aplicativo porque as chaves secretas são compartilhadas.

Durante uma das investigações da Sygnia, o TG1021 aproveitou as chaves de criptografia e validação roubadas para explorar os servidores da web IIS.

O grupo também explorou um mecanismo de armazenamento de sessão que depende da serialização. O ASP.NET permite que os aplicativos armazenem sessões de usuário como objetos serializados em um banco de dados MSSQL e, em seguida, atribua cookies exclusivos a eles. Quando o navegador de um usuário visita o aplicativo novamente e tem um desses cookies salvo, o aplicativo carrega o objeto de sessão correspondente do banco de dados e o desserializa.

Segundo os pesquisadores da Sygnia, os invasores exploraram esse recurso para movimento lateral usando seu acesso a um servidor web IIS comprometido por uma das vulnerabilidades anteriores para gerar um objeto de sessão malicioso e cookie associado e armazená-lo no banco de dados Microsoft SQL. Em seguida, eles enviaram solicitações a outros servidores IIS que faziam parte da mesma infraestrutura e estavam usando o mesmo banco de dados e incluíram o cookie invasor nas solicitações. Isso forçou as instâncias do aplicativo em execução nesses servidores a carregar o objeto de sessão criado com códigos maliciosos do banco de dados e desserializá-lo, levando ao RCE.

O relatório da Sygnia diz que o Praying Mantis às vezes também usa um shell da web para carregar o malware NodeIISWeb. Isso é mais comum quando o grupo está explorando vulnerabilidades de upload de arquivo, em vez de aquelas de execução remota de código com base na desserialização. O malware se conecta às funções de validação de entrada do IIS e pode ler todo o tráfego HTTP de entrada para o servidor. Isso oferece aos invasores um método para controlar o malware, enviando solicitações criadas ao servidor com determinados nomes e valores de cookies que ele monitora. Como os invasores podem enviar instruções por meio desse mecanismo HTTP, o NodeIISWeb não gera conexões de saída para um servidor de comando e controle que poderia ser detectado por soluções de monitoramento de tráfego.

O NodeIISWeb é frequentemente usado para implantar backdoor personalizada do Windows, chamada ExtDLL.dll, que pode ser usada para manipular arquivos e diretórios, reunir informações do sistema, carregar e executar DLLs (Dynamic-link library, ou biblioteca de vínculo dinâmico) e implementar várias técnicas de ataque, como injeção de código e manipulação de token. Este componente também se conecta e manipula várias funções de segurança presentes no sistema para ocultar suas atividades, incluindo funções de varredura AV, funções de relatório de log de eventos, verificações de confiança de código .NET e chaves de registro relacionadas ao PowerShell.

Diante de toda a sofisticação do malware e do conhecimento técnico dos hackers. detectar as atividades do Praying Mantis não é fácil, até mesmo por causa da natureza volátil do malware residente na memória e da atenção do grupo à segurança operacional. Os pesquisadores da Sygnia recomendam corrigir vulnerabilidades de desserialização do .NET, procurando os indicadores de comprometimento publicados em seu relatório, verificando servidores IIS voltados para a internet com regras YARA projetadas para detectar as ferramentas do grupo e procurar ativamente atividades suspeitas em ambientes IIS.

FONTE: CISO ADVISOR

POSTS RELACIONADOS