Eine kürzlich veröffentlichte Analyse des Kaspersky-Sicherheitsforschers Mert Degirmenci zeigt, dass es sich bei der Web Shell um eine Dynamic Link Library (DLL) namens "hrserv.dll" mit komplexer Funktionalität handelt, wie z. B. benutzerdefinierte Codierungsmethoden für die clientseitige Kommunikation und Speicherausführung.
Nach Angaben von Kaspersky hat die russischeNetzwerksicherheitDie Untersuchung des Unternehmens deckte Malware-Varianten auf, die auf der Grundlage der Kompilierungszeitstempel dieser Artefakte auf Anfang 2021 zurückgehen.
Eine Web Shell ist häufig ein bösartiges Tool, das zur Fernsteuerung eines infizierten Servers verwendet wird. Nach dem erfolgreichen Hochladen kann ein Angreifer eine Reihe von Aktivitäten durchführen, wie z. B. Datendiebstahl, Serverüberwachung und seitliches Vordringen im Intranet.
Die Angriffskette umfasst das Remote-Verwaltungstool PAExec, eine Alternative zu PsExec, mit dem eine geplante Aufgabe erstellt wird, die als Microsoft-Update ("MicrosoftsUpdate") getarnt und dann so konfiguriert ist, dass sie ein Windows-Batch-Skript namens "JKNLA .bat"-Windows-Batch-Skript auszuführen.
Das Batch-Skript akzeptiert den absoluten Pfad der DLL-Datei ("hrserv.dll") als Parameter und führt sie dann als Dienst aus, um einen HTTP-Server zu starten, der eingehende HTTP-Anfragen für nachfolgende Operationen analysieren kann.
Degirmenci sagte, dass abhängig von der Art der HTTP-Anfrage und der Information bestimmte Funktionen aktiviert werden. Er fügte hinzu, dass die GET-Parameter in der Datei "hrserv.dll" verwendet werden, um Google-Dienste, einschließlich "hl", zu imitieren.
Es ist wahrscheinlich, dass die Angreifer versuchen, diese bösartigen Anfragen mit dem normalen Netzwerkverkehr zu vermischen, wodurch es schwieriger wird, zwischen bösartigen Aktivitäten und normalen Ereignissen zu unterscheiden.
In diese HTTP-GET- und POST-Anforderungen ist ein Parameter namens "cp" eingebettet, dessen Wert zwischen 0 und 7 liegt und bestimmt, was als nächstes zu tun ist. Dazu gehören das Erstellen eines neuen Threads, das Erstellen einer Datei mit beliebigen Daten, das Lesen einer Datei und der Zugriff auf HTML-Daten aus der Outlook-Webanwendung.
Wenn der Wert von "cp" in der POST-Anfrage gleich "6" ist, wird die Ausführung von Code ausgelöst, der die verschlüsselten Daten analysiert und in den Speicher kopiert, dann einen neuen Thread erstellt und in den Ruhezustand geht.
Darüber hinaus ist die Web Shell in der Lage, ein verstecktes "Mehrzweck-Implantat" im Speicher zu aktivieren, das für die Löschung forensischer Spuren verantwortlich ist, indem es die Aufgabe "MicrosoftsUpdate" sowie die ursprünglichen DLL- und Batch-Dateien löscht. Die
Es ist unklar, wer hinter dieser Bedrohung steckt, aber es gibt mehrere Rechtschreibfehler im Quellcode, die darauf hindeuten, dass die Muttersprache des Malware-Autors nicht Englisch ist.
Degirmenci schlussfolgert: "Es ist erwähnenswert, dass Web Shell und Speicherimplantate unter bestimmten Bedingungen unterschiedliche Zeichenketten verwenden. Außerdem haben Speicherimplantate gut formulierte Hilfemeldungen".
"Unter Berücksichtigung dieser Faktoren sind die Merkmale der Malware eher mit wirtschaftlich motivierten bösartigen Aktivitäten vereinbar. Die Arbeitsweise der Malware steht jedoch im Einklang mit APT Es gibt Ähnlichkeiten im Verhalten".
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/ew-hrservdll-web-shell-in-apt-html-entdeckt
