Последний анализ, опубликованный исследователем безопасности «Лаборатории Касперского» Мертом Дегирменчи, показывает, что веб-оболочка представляет собой динамическую библиотеку (DLL) под названием «hrserv.dll» со сложными функциями, такими как специальные методы кодирования для взаимодействия с клиентом и выполнения памяти.
По мнению Касперского, этот русскийинформационная безопасностьРасследование компании, основанное на временных метках компиляции артефактов, выявило варианты вредоносного ПО, датируемые началом 2021 года.
Веб-оболочка обычно представляет собой вредоносный инструмент, используемый для удаленного управления взломанным сервером. После загрузки злоумышленник может выполнить ряд действий после эксплуатации, включая кражу данных, мониторинг сервера и горизонтальное продвижение внутри интрасети.
В цепочке атак используется инструмент удаленного управления PAExec, который является заменой PsExec и используется для создания запланированного задания, замаскированного под Центр обновления Microsoft («MicrosoftsUpdate»), а затем настроенного для выполнения пакетного сценария Windows с именем «JKNLA.bat».
Пакетный сценарий принимает абсолютный путь к файлу DLL («hrserv.dll») в качестве параметра, а затем выполняет его как службу, запуская HTTP-сервер, способный анализировать входящие HTTP-запросы для последующих операций.
Дегирменчи сказал, что в зависимости от типа и информации HTTP-запроса будут активированы определенные функции. Он добавил, что параметры GET, используемые в файле «hrserv.dll», используются для имитации сервисов Google, включая «hl».
Скорее всего, это попытка злоумышленника смешать эти вредоносные запросы с обычным сетевым трафиком, что затрудняет отличие вредоносной активности от обычных событий.
В эти HTTP-запросы GET и POST встроен параметр с именем «cp», его значение находится в диапазоне от 0 до 7, что определяет следующую операцию. К ним относятся создание новых потоков, создание файлов с произвольными данными, чтение файлов и доступ к данным HTML из Outlook Web App.
Если значение «cp» в POST-запросе равно «6», запускается выполнение кода, закодированные данные анализируются и копируются в память, создается новый поток и он переходит в режим сна.
Кроме того, веб-оболочка смогла активировать в памяти скрытый «многофункциональный имплантат», отвечающий за стирание криминалистических следов путем удаления задачи «MicrosoftsUpdate», а также исходных DLL и пакетных файлов.
Неясно, кто стоит за этой угрозой, но в исходном коде имеется множество орфографических ошибок, которые позволяют предположить, что автор вредоносного ПО не является носителем английского языка.
Дегирменчи заключил: «Стоит отметить, что веб-оболочка и имплант памяти при определенных условиях используют разные строки. Кроме того, имплант памяти также имеет тщательно обработанную справочную информацию».
«Принимая во внимание эти факторы, характеристики вредоносного ПО в большей степени соответствуют финансово мотивированной вредоносной деятельности, однако методы его работы соответствуют АПТ Есть сходство в поведении. "
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://www.cncso.com/ru/ew-hrservdll-web-shell-detected-in-apt.html.
