banner large

Server Microsoft Exchange di seluruh dunia terkena backdoor baru yang tersembunyi

Comment
X
Share
Server Microsoft Exchange di seluruh dunia terkena backdoor baru yang tersembunyi

Gambar Getty

Para peneliti telah mengidentifikasi malware baru yang tersembunyi yang telah digunakan oleh pelaku ancaman selama 15 bulan terakhir untuk mem-backdoor server Microsoft Exchange setelah mereka diretas.

Dijuluki SessionManager, perangkat lunak berbahaya tersebut berperan sebagai modul yang sah untuk Layanan Informasi Internet (IIS), server web yang diinstal secara default di server Exchange. Organisasi sering menyebarkan modul IIS untuk merampingkan proses tertentu pada infrastruktur web mereka. Peneliti dari perusahaan keamanan Kaspersky telah mengidentifikasi 34 server milik 24 organisasi yang telah terinfeksi SessionManager sejak Maret 2021. Hingga awal bulan ini, kata Kaspersky, 20 organisasi tetap terinfeksi.

Siluman, ketekunan, kekuatan

Modul IIS berbahaya menawarkan cara yang ideal untuk menyebarkan backdoor yang kuat, persisten, dan tersembunyi. Setelah diinstal, mereka akan menanggapi permintaan HTTP yang dibuat secara khusus yang dikirim oleh operator yang menginstruksikan server untuk mengumpulkan email, menambahkan akses berbahaya lebih lanjut, atau menggunakan server yang disusupi untuk tujuan rahasia. Untuk mata yang tidak terlatih, permintaan HTTP terlihat biasa-biasa saja, meskipun mereka memberi operator kendali penuh atas mesin.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Kaspersky tulis peneliti Pierre Delcher. Akibatnya, modul tersebut tidak mudah terlihat oleh praktik pemantauan biasa: mereka tidak perlu memulai komunikasi yang mencurigakan ke server eksternal, menerima perintah melalui permintaan HTTP ke server yang secara khusus terpapar proses tersebut, dan file mereka sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya.”

Kaspersky

Setelah SessionManager diterapkan, operator menggunakannya untuk membuat profil lingkungan yang terinfeksi lebih lanjut, mengumpulkan kata sandi yang disimpan dalam memori, dan menginstal alat tambahan, termasuk pemuat reflektif berbasis PowerSploit, Mimikat SSP, ProcDump, dan alat pembuangan memori Avast yang sah. Kaspersky memperoleh beberapa varian SessionManager yang berasal dari setidaknya Maret 2021. Sampel menunjukkan evolusi yang stabil yang telah menambahkan lebih banyak fitur dengan setiap versi baru. Versi terbaru dari modul berbahaya mencakup yang berikut ini:

Nama perintah
(Nilai cookie SM_SESSION)
Parameter perintah
(kue tambahan)
Kemampuan terkait
GETFILE FILEPATH: jalur file yang akan dibaca. FILEPOS1: offset untuk mulai membaca, dari awal file.

FILEPOS2: jumlah byte maksimum untuk dibaca.

Baca konten file di server yang disusupi dan kirimkan ke operator sebagai file biner HTTP bernama cool.rar.
PUTFILE FILEPATH: jalur file yang akan ditulis.

FILEPOS1: offset untuk mulai menulis.

FILEPOS2: referensi offset.

FILEMODE: jenis akses file yang diminta.

Tulis konten arbitrer ke file di server yang disusupi. Data yang akan ditulis dalam file yang ditentukan dilewatkan dalam badan permintaan HTTP.
MENGHAPUS BERKAS FILEPATH: jalur file yang akan dihapus. Hapus file di server yang disusupi.
UKURAN FILE FILEPATH: jalur file yang akan diukur. Dapatkan ukuran (dalam byte) dari file yang ditentukan.
CMD Tidak ada. Jalankan proses arbitrer di server yang disusupi. Proses yang akan dijalankan dan argumennya ditentukan di badan permintaan HTTP menggunakan format: \t. Output standar dan data kesalahan dari eksekusi proses dikirim kembali sebagai teks biasa ke operator di badan respons HTTP.
PING Tidak ada. Periksa penerapan SessionManager. The “Wokring OK” (sic.) pesan akan dikirim ke operator di badan respons HTTP.
S5CONNECT S5HOST: nama host untuk terhubung (eksklusif dengan S5IP).

S5PORT: offset untuk mulai menulis.

S5IP: Alamat IP untuk terhubung jika tidak ada nama host yang diberikan (eksklusif dengan S5HOST).

S5TIMEOUT: penundaan maksimum dalam hitungan detik untuk memungkinkan koneksi.

Terhubung dari host yang disusupi ke titik akhir jaringan tertentu, menggunakan soket TCP yang dibuat. Pengidentifikasi integer dari soket yang dibuat dan terhubung akan dikembalikan sebagai nilai variabel cookie S5ID dalam respons HTTP, dan status koneksi akan dilaporkan di badan respons HTTP.
S5MENULIS S5ID: pengidentifikasi soket untuk menulis, seperti yang dikembalikan oleh S5CONNECT. Tulis data ke soket terhubung yang ditentukan. Data yang akan ditulis dalam soket yang ditentukan dilewatkan dalam badan permintaan HTTP.
S5BACA S5ID: pengenal soket yang akan dibaca, seperti yang dikembalikan oleh S5CONNECT. Baca data dari soket terhubung yang ditentukan. Data yang telah dibaca dikirim kembali dalam badan respons HTTP.
S5TUTUP S5ID: pengenal soket yang akan ditutup, seperti yang dikembalikan oleh S5CONNECT. Hentikan koneksi soket yang ada. Status operasi dikembalikan sebagai pesan dalam badan respons HTTP.

Ingat ProxyLogon?

SessionManager diinstal setelah aktor ancaman mengeksploitasi kerentanan yang dikenal sebagai ProxyLogon dalam server Microsoft Exchange. Kaspersky telah menemukannya menginfeksi LSM, pemerintah, militer, dan organisasi industri di Afrika, Amerika Selatan, Asia, dan Eropa.

Kaspersky

Kaspersky mengatakan memiliki keyakinan menengah hingga tinggi bahwa aktor ancaman yang diidentifikasi sebelumnya yang oleh para peneliti disebut Gelsemium telah menyebarkan SessionManager. Perusahaan keamanan ESET menerbitkan penyelaman mendalam pada grup (PDF) tahun lalu. Atribusi Kaspersky didasarkan pada tumpang tindih kode yang digunakan oleh dua kelompok dan korban yang ditargetkan.

Mendisinfeksi server yang terkena SessionManager atau modul IIS berbahaya serupa adalah proses yang rumit. Postingan Kaspersky berisi indikator yang dapat digunakan organisasi untuk menentukan apakah mereka telah terinfeksi dan langkah-langkah yang harus diambil jika mereka telah terinfeksi.

Leave a Reply

Your email address will not be published.