Ataque avançado de residente na memória explora falha do IIS

Ataque avançado de residente na memória explora falha do IIS. Grupo de ameaças persistentes avançadas (APT), autodenominado Praying Mantis, usa malware personalizado para atacar servidores web IIS.

Os servidores Windows voltados para a Internet estão sendo visados ​​por um novo ator de ameaça operando “quase completamente na memória”, de acordo com um novo relatório da equipe de Resposta a Incidentes da Sygnia . 

O relatório disse que o agente de ameaças avançadas e persistentes – que eles chamaram de “Praying Mantis” (Louva-a-Deus) ou “TG1021” – costumava usar ataques de desserialização para carregar uma plataforma de malware customizada e completamente volátil, feita sob medida para o ambiente Windows IIS.

“O TG1021 usa uma estrutura de malware customizada, construída em torno de um núcleo comum, feito sob medida para servidores IIS. O conjunto de ferramentas é completamente volátil, carregado de forma reflexiva na memória de uma máquina afetada e deixa pouco ou nenhum vestígio nos alvos infectados”, o pesquisadores escreveram.

“O ator da ameaça utilizou o acesso fornecido usando o IIS para conduzir a atividade adicional, incluindo coleta de credenciais, reconhecimento e movimento lateral.”

Durante o ano passado, a equipe de Resposta a Incidentes da Sygnia respondeu a uma série de ataques de intrusão cibernética direcionados realizados por um agente de ameaça persistente e altamente capaz. Os ataques tiveram como alvo organizações importantes nos Estados Unidos e exploraram servidores voltados para a Internet para se infiltrar em suas redes.

Um ator de ameaças avançado e furtivo

O ataque que Sygnia identificou e respondeu foi executado por um ator de ameaças avançado e persistente apelidado de “Praying Mantis”, que opera quase completamente na memória.

A base inicial na rede foi obtida com o aproveitamento de uma variedade de explorações de desserialização voltadas para servidores Windows IIS e vulnerabilidades voltadas para aplicativos da web. As atividades observadas sugerem que o Praying Mantis está altamente familiarizado com o software Windows IIS e equipado com exploits de dia zero.

O Praying Mantis utiliza uma estrutura de malware totalmente volátil e personalizada, feita sob medida para servidores IIS. O componente principal carregado em servidores IIS voltados para a Internet, intercepta e lida com qualquer solicitação HTTP recebida pelo servidor. O agente da ameaça também usa um backdoor furtivo adicional e vários módulos pós-exploração para realizar o reconhecimento da rede, elevar privilégios e mover-se lateralmente dentro das redes.

A natureza do ataque e o modus operandi geral das atividades sugerem que o Praying Mantis é um ator furtivo experiente, altamente ciente da OPSEC (segurança de operações). O malware usado mostra um esforço significativo para evitar a detecção, interferindo ativamente nos mecanismos de registro, evitando EDRs comerciais com sucesso, bem como aguardando silenciosamente as conexões de entrada em vez de se conectar de volta a um canal C2 e gerar tráfego continuamente. Além disso, o Praying Mantis removeu ativamente todas as ferramentas residentes no disco depois de usar o – efetivamente sacrificando a persistência pela furtividade.

Infraestrutura do conjunto de ferramentas do Praying Mantis

As táticas, técnicas e procedimentos do ator da ameaça (TTPs) estão fortemente correlacionados com os descritos em um comunicado publicado pelo Australian Cyber ​​Security Center (ACSC) em junho de 2020. O comunicado detalha as atividades de um sofisticado ator patrocinado pelo estado visando o público australiano e organizações do setor privado. Especificamente, ele declara : “O governo australiano está atualmente ciente e respondendo a uma segmentação sustentada de governos e empresas australianos por um ator sofisticado com base no estado. Esta atividade representa o ciber-alvo coordenado mais significativo contra as instituições australianas que o governo australiano já observou. ”

O relatório de pesquisa Sygnia contém recomendações detalhadas sobre a defesa de redes contra esse ator de ameaça furtivo e sofisticado.

Diante de toda a sofisticação do malware e do conhecimento técnico dos hackers. detectar as atividades do Praying Mantis não é fácil, até mesmo por causa da natureza volátil do malware residente na memória e da atenção do grupo à segurança operacional. Os pesquisadores da Sygnia recomendam corrigir vulnerabilidades de desserialização do .NET, procurando os indicadores de comprometimento publicados em seu relatório, verificando servidores IIS voltados para a internet com regras YARA projetadas para detectar as ferramentas do grupo e procurar ativamente atividades suspeitas em ambientes IIS.

Atividades forenses contínuas e resposta oportuna a incidentes são essenciais para identificar e se defender com eficácia de ataques de agentes de ameaças semelhantes.

No relatório , compartilhamos o modus operandi do ator da ameaça, uma análise aprofundada de suas capacidades e fornecemos percepções acionáveis, IOCs e diretrizes para a defesa contra ataques do Praying Mantis.

Clique aqui para o relatório completo

Fonte: Sygnia & ZDNet

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. O que é threat modeling? (Modelagem de Ameaças)
  2. Falha no HYPER-V permite ataque devastador ao Azure
  3. Justiça atende ação do MPDFT e determina suspensão de site que vende dados pessoais - Minuto da Segurança da Informação
  4. BlackMatter Ransomware surge como sucessor do DarkSide, REvil
  5. Guia para backup: como proteger seus dados contra ransomware.
  6. Gestão de dados: entenda os benefícios e alinhe às suas estratégias de marketing
  7. Guardicore e Safe Breach divulgam fuzzer desenvolvido para detectar vulnerabilidades no Hyper-V

Deixe sua opinião!