🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Sigilosa puerta trasera está atacando servidores de Microsoft Exchange en todo el mundo

Investigadores de seguridad han identificado un nuevo malware sigiloso que ciberdelincuentes han estado usando durante los últimos 15 meses como puerta trasera en los servidores de Microsoft Exchange después de haber sido hackeados.

Apodado SessionManager, el software malicioso se hace pasar por un módulo legítimo para Internet Information Services (IIS). IIS es el servidor web instalado de forma predeterminada en los servidores de Exchange. 

Las organizaciones a menudo implementan módulos IIS para optimizar procesos específicos en su infraestructura web. Investigadores de la firma de seguridad Kaspersky han identificado 34 servidores pertenecientes a 24 organizaciones que han sido infectadas con SessionManager desde marzo de 2021. A principios de este mes, según Kaspersky , 20 organizaciones seguían infectadas.

Sigilo, persistencia, poder

Los módulos IIS maliciosos ofrecen un medio ideal para implementar puertas traseras potentes, persistentes y sigilosas. Una vez instalados, responden a las solicitudes HTTP específicamente diseñadas y enviadas por el operador para indicarle al servidor que recopile correos electrónicos, agregue más acceso malicioso o use los servidores comprometidos con fines clandestinos. Para el ojo inexperto, las solicitudes HTTP parecen normales, a pesar de que le dan al operador un control total sobre la máquina.

“Dichos módulos maliciosos generalmente esperan solicitudes HTTP aparentemente legítimas pero diseñadas específicamente por sus operadores, activan acciones basadas en las instrucciones ocultas de los operadores, si las hay, y luego pasan la solicitud de forma transparente al servidor para que se procese como cualquier otra solicitud”. Como resultado, estos módulos no se detectan fácilmente mediante las prácticas habituales de monitoreo. No necesariamente inician comunicaciones sospechosas a servidores externos, reciben comandos a través de solicitudes HTTP a un servidor que está específicamente expuesto a tales procesos y sus archivos a menudo se colocan en ubicaciones pasadas por alto que contienen muchos otros archivos legítimos”. 

Pierre Delcher, investigador de Kaspersky 

Una vez que se implementa SessionManager, los operadores lo utilizan para perfilar aún más el entorno infectado. Les permite recopilar contraseñas almacenadas en la memoria e instalar herramientas adicionales, incluido un instalador basado en PowerSploit , Mimikat SSP, ProcDump y una herramienta de volcado de memoria legítima de Avast. Kaspersky obtuvo múltiples variantes de SessionManager que se remontan al menos a marzo de 2021. 

Funciones de la puerta trasera

Las muestras muestran una evolución constante que ha agregado más funciones con cada nueva versión. La versión más reciente del módulo malicioso incluye lo siguiente:


Nombre del comando (valor de la cookie SM_SESSION)

Parámetros de comando (cookies adicionales)

Capacidad asociada
GETFILEFILEPATH: ruta del archivo a leer. FILEPOS1: desplazamiento en el que comenzar a leer, desde el inicio del archivo.FILEPOS2: número máximo de bytes a leer.Leer el contenido de un archivo en el servidor comprometido y envíarlo al operador como un archivo binario HTTP llamado cool.rar.
PUTFILEFILEPATH: ruta del archivo a escribir.FILEPOS1: desplazamiento en el que comenzará a escribir.
FILEPOS2: referencia de compensación.
FILEMODE: tipo de acceso al archivo solicitado.
Escribir contenido arbitrario en un archivo en el servidor comprometido. Los datos que se escribirán en el archivo especificado se pasan dentro del cuerpo de la solicitud HTTP.
DELETEFILEFILEPATH: ruta del archivo a eliminar.Eliminar un archivo en el servidor comprometido.
FILESIZEFILEPATH: ruta del archivo a medir.Obtener el tamaño (en bytes) del archivo especificado.

CMD

NingunaEjecutar un proceso arbitrario en el servidor comprometido. El proceso a ejecutar y sus argumentos se especifican en el cuerpo de la solicitud HTTP con el formato: <ruta del ejecutable>\t<argumentos>. La salida estándar y los datos de error de la ejecución del proceso se devuelven como texto plano al operador en el cuerpo de la respuesta HTTP.
PINGNingunaComprobar la implementación de SessionManager. El mensaje “Wokring OK” (sic) se envía al operador en el cuerpo de la respuesta HTTP.
S5CONNECTS5HOST: nombre de host para conectarse (exclusivo con S5IP).S5PORT: desplazamiento en el que comenzará a escribir.
S5IP: dirección IP para conectarse si no se proporciona un nombre de host (exclusivo con S5HOST).
S5TIMEOUT: retraso máximo en segundos para permitir la conexión.
Conectarse desde un host comprometido a un punto final de red específico, utilizando un socket TCP creado. El identificador entero del socket creado y conectado se devuelve como el valor de la variable de cookie S5ID en la respuesta HTTP, y el estado de la conexión se reporta en el cuerpo de la respuesta HTTP.
S5WRITES5ID: identificador del socket para escribir, como lo devuelve S5CONNECT.Escribir datos en el socket conectado especificado. Los datos que se escribirán en el socket especificado se pasan dentro del cuerpo de la solicitud HTTP.
S5READS5ID: identificador del socket para leer, como lo devuelve S5CONNECT.Leer datos del socket conectado especificado. Los datos leídos se devuelven dentro del cuerpo de la respuesta HTTP.
S5CLOSES5ID: identificador del socket a cerrar, tal y como lo devuelve S5CONNECT.Terminar una conexión de socket existente. El estado de la operación se devuelve como un mensaje dentro del cuerpo de la respuesta HTTP.

¿Recuerdas ProxyLogon?

SessionManager se instala después de que los atacantes hayan explotado vulnerabilidades conocidas como ProxyLogon dentro de los servidores de Microsoft Exchange. Kaspersky lo ha encontrado infectando a ONGs, gobiernos, militares y organizaciones industriales en África, América del Sur, Asia y Europa.

Kaspersky dijo que tiene una confianza media a alta de que un actor de amenazas previamente identificado que los investigadores llaman Gelsemium ha estado implementando SessionManager. La empresa de seguridad ESET publicó un análisis profundo del grupo (PDF) el año pasado. La atribución de Kaspersky se basa en la superposición del código utilizado por los dos grupos y las víctimas objetivo.

Desinfectar servidores que han sido atacados por SessionManager o módulos IIS maliciosos similares es un proceso complicado. La publicación de Kaspersky contiene indicadores que las organizaciones pueden usar para determinar si se han infectado y los pasos que deben seguir en caso de que hayan sido infectadas.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información