Microsoft IIS webshell kompromittálása
A ReliaQuest egy korábban nem dokumentált, feltehetően kínai állami hátterű kiberkémkedési klasztert, az OP-512-t azonosította, amely elsődlegesen internet felől elérhető Microsoft IIS szervereket vesz célba. A kutatók közepes–magas bizonyossággal kínai attribúciót valószínűsítenek, mivel a célpont profilja, a műveleti fegyelem és az alkalmazott technikák jól illeszkednek a kínai hírszerzési prioritásokhoz.
A támadás központi eleme egy három komponensből álló, egyedi fejlesztésű webshell-keretrendszer. A rendszer külön fájlkezelő modult, távoli parancsvégrehajtási funkciót és egy automatikus beaconing mechanizmust tartalmaz, amely a kompromittált szervereket központilag nyilvántartja. Minden telepített példány kriptográfiai módszerekkel egyedileg generált, így a hagyományos hash- vagy szignatúraalapú felismerési technikák hatékonysága jelentősen csökken.
A vizsgált incidensben a támadók egy Windows Server 2016 rendszeren futó, már nem támogatott .NET Framework 4.0 környezetet kompromittáltak. A hozzáférés megszerzése után a Potato Suite jogosultságkiterjesztő technikáit alkalmazták SYSTEM szintű hozzáférés elérésére, majd több, egymástól független vezérlési csatornát alakítottak ki a hosszú távú jelenlét biztosítása érdekében. A ReliaQuest szerint a kompromittált szerveren már 75 nappal korábbi aktivitás nyomai is láthatók voltak, ami a klasszikus, hosszú távú állami kiberfelderítő műveletekre jellemző.
Az OP-512 legalább a negyedik olyan kínai kötődésű műveleti klaszter, amely az elmúlt egy évben kifejezetten IIS-szervereket támadott. A jelentés egyik legfontosabb következtetése, hogy a még mindig internetre publikált, elavult .NET-komponenseket futtató IIS-rendszerek kiemelt célpontjai maradtak a kínai kiberkémkedési műveleteknek. A szervezet ezért az ilyen rendszerek mielőbbi modernizálását, szegmentálását, valamint a webshell-aktivitás és a szokatlan kimenő hálózati kapcsolatok fokozott monitorozását javasolja.
