Οι διαβόητοι βορειοκορεάτες υποστηριζόμενοι από το κράτος χάκερ, γνωστοί ως Lazarus Group, στοχεύουν τώρα ευάλωτους διακομιστές ιστού των Windows Internet Information Services (IIS) για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Ο Lazarus έχει κυρίως οικονομικά κίνητρα, με πολλούς αναλυτές να πιστεύουν ότι οι κακόβουλες δραστηριότητες των χάκερ βοηθούν στη χρηματοδότηση των προγραμμάτων ανάπτυξης όπλων της Βόρειας Κορέας. Ωστόσο, η ομάδα έχει επίσης εμπλακεί σε αρκετές επιχειρήσεις κατασκοπείας.
Η τελευταία τακτική στόχευσης διακομιστών των Windows IIS ανακαλύφθηκε από Νοτιοκορεάτες ερευνητές στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης Ασφαλείας AhnLab (ΕΝΑ ΔΕΥΤΕΡΟ).
Επιθέσεις σε διακομιστές IIS
Οι διακομιστές ιστού των Windows Internet Information Services (IIS) χρησιμοποιούνται από οργανισμούς όλων των μεγεθών για τη φιλοξενία περιεχομένου ιστού, όπως τοποθεσίες, εφαρμογές και υπηρεσίες, όπως το Outlook του Microsoft Exchange στο Web.
Είναι μια ευέλικτη λύση που είναι διαθέσιμη από την κυκλοφορία των Windows NT, υποστηρίζοντας τα πρωτόκολλα HTTP, HTTPS, FTP, FTPS, SMTP και NNTP.
Ωστόσο, εάν οι διακομιστές δεν διαχειρίζονται σωστά ή δεν είναι ενημερωμένοι, μπορούν να λειτουργήσουν ως σημεία εισόδου στο δίκτυο για τους χάκερ.
Προηγουμένως, η Symantec ανέφερε για χάκερ που ανέπτυξαν κακόβουλο λογισμικό στις υπηρεσίες IIS για να εκτελέσουν εντολές στα συστήματα που έχουν παραβιαστεί μέσω αιτημάτων ιστού, αποφεύγοντας τον εντοπισμό από εργαλεία ασφαλείας.
Μια ξεχωριστή αναφορά αποκάλυψε ότι μια ομάδα hacking με το όνομα «Cranfly» χρησιμοποιούσε μια άγνωστη τεχνική ελέγχου κακόβουλου λογισμικού χρησιμοποιώντας αρχεία καταγραφής διακομιστή ιστού IIS.
Οι επιθέσεις του Λαζάρου στις IIS
Το Lazarus αποκτά πρώτα πρόσβαση σε διακομιστές IIS χρησιμοποιώντας γνωστά τρωτά σημεία ή εσφαλμένες διαμορφώσεις που επιτρέπουν στους παράγοντες απειλής να δημιουργούν αρχεία στον διακομιστή IIS χρησιμοποιώντας τη διαδικασία w3wp.exe.
Οι χάκερ ρίχνουν το “Wordconv.exe”, ένα νόμιμο αρχείο που αποτελεί μέρος του Microsoft Office, ένα κακόβουλο DLL (“msvcr100.dll”) στον ίδιο φάκελο και ένα κωδικοποιημένο αρχείο με το όνομα “msvcr100.dat”.
Κατά την εκκίνηση του “Wordconv.exe”, ο κακόβουλος κώδικας στο DLL φορτώνεται για να αποκρυπτογραφήσει το εκτελέσιμο αρχείο με κωδικοποίηση Salsa20 από το msvcr100.dat και να το εκτελέσει στη μνήμη όπου τα εργαλεία προστασίας από ιούς δεν μπορούν να το εντοπίσουν.
Η ASEC έχει βρει αρκετές ομοιότητες κώδικα μεταξύ του ‘msvcr100.dll' και ενός άλλου κακόβουλου λογισμικού του παρατηρήθηκε πέρυσι‘cylvc.dll', το οποίο χρησιμοποιήθηκε από τον Lazarus για την απενεργοποίηση προγραμμάτων κατά του κακόβουλου λογισμικού χρησιμοποιώντας την τεχνική “φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης”.
Ως εκ τούτου, η ASEC θεωρεί το αρχείο DLL που ανακαλύφθηκε πρόσφατα μια νέα παραλλαγή του ίδιου κακόβουλου λογισμικού.
Στη δεύτερη φάση της επίθεσης, ο Lazarus δημιουργεί ένα δεύτερο κακόβουλο λογισμικό (‘diagn.dll') εκμεταλλευόμενο ένα πρόσθετο Notepad++.
Αυτό το δεύτερο κακόβουλο λογισμικό λαμβάνει ένα νέο ωφέλιμο φορτίο κωδικοποιημένο με τον αλγόριθμο RC6 αυτή τη φορά, το αποκρυπτογραφεί χρησιμοποιώντας ένα σκληρά κωδικοποιημένο κλειδί και το εκτελεί στη μνήμη για φοροδιαφυγή.
Η ASEC δεν μπόρεσε να προσδιορίσει τι έκανε αυτό το ωφέλιμο φορτίο στο σύστημα που είχε παραβιαστεί, αλλά είδε σημάδια ντάμπινγκ LSASS που υποδεικνύουν δραστηριότητα κλοπής διαπιστευτηρίων.
Το τελευταίο βήμα της επίθεσης του Lazarus ήταν να πραγματοποιηθεί αναγνώριση δικτύου και πλευρική κίνηση μέσω της θύρας 3389 (Απομακρυσμένη επιφάνεια εργασίας) χρησιμοποιώντας έγκυρα διαπιστευτήρια χρήστη, που πιθανώς κλάπηκαν στο προηγούμενο βήμα.
Ωστόσο, η ASEC δεν έχει αποκαλύψει περαιτέρω κακόβουλες δραστηριότητες μετά την πλευρική εξάπλωση των εισβολέων στο δίκτυο.
Καθώς ο Lazarus βασίζεται σε μεγάλο βαθμό στην παράπλευρη φόρτωση DLL ως μέρος των επιθέσεων του, η ASEC συνιστά στους οργανισμούς να παρακολουθούν για μη φυσιολογική εκτέλεση διεργασιών.
«Ειδικότερα, δεδομένου ότι η ομάδα απειλών χρησιμοποιεί κυρίως την τεχνική πλευρικής φόρτωσης DLL κατά τις αρχικές διεισδύσεις τους, οι εταιρείες θα πρέπει να παρακολουθούν προληπτικά τις μη φυσιολογικές σχέσεις εκτέλεσης διεργασιών και να λαμβάνουν προληπτικά μέτρα για να εμποδίσουν την ομάδα απειλών να πραγματοποιήσει δραστηριότητες όπως η διήθηση πληροφοριών και η πλευρική μετακίνηση. », καταλήγει η έκθεση της ASEC.
