Um fortinet publicou uma análise detalhada do script malicioso updateChecker.aspx, utilizado para controlar servidores Microsoft iis infectados por meio de postagens htttp criptografadas. O Estudo Foi conduzido pela Equipe do FortiGuard Labs e Revela como o web shell foi projetado para operar de forma oculta e sofisticada em uma infraestrutura crítica no oriente médio.
Leia Tamboma
Inteligênia Inquieeta com Contrato da Huawei na Espanha
Mercado de Cyber Crescerá 9,1% Ao Ano Até 2030
O script. Nomes de Métodos, Variáveis E Classes Foram Gerados Aleatória e Codificados em Unicode, Enquanto Constantes como Strings E Números foram criptografadas. Uma execução da Page_load OCORRE APENAS APÓS O RECEBIGILO DE COMANDOS Específicos via Requisitos Http com O Cabeçalho Aplicação/Octete-Stream.
O Corpo da Requisição de Codifate em Base64 E Procesado em Etapas. Os primeiros 16 bytes contêm uma cháve croptografada, que é decodificada para extrir 15 bytes de Chave e um byte de preenchimento. ESSA CHAVE É USADA PARA DECIFRAR OS DADOS DO COMANDO. A respota do Shell é Enviada em JSON, Criptografada e Codificada Novamenthe em Base64.
O Script OFERECE TRÊS MÓDULOS PRINCIPALIS: Ó MÓDULO BÁSICO COLETA Informações do Servidor; Ó Módulo de Comunicação Executea comandos no Diretório de Trabalho; EO MÓDULO FILIMANAGER LOCAÇÃO INTERAÇÃO COM ARQUIVOS E DIRETÓRIOS, INCLUINDO CRIAÇÃO, EXCLUSÃO, MOVIMENTAÇÃO, ALTERAÇÃO DE METADADOS E VISUALIZAÇÃO DE DISCOS.
Para demonstar o funcionamento do shell, um script de fortinet desenvolveu um em python que simula os comandos Envisados Pelos atacantes e exibe como respostas. A Análise do UpdateChecker.aspx Revelou Uma ArquiteTura Complexa e discreta, com Gerenciamento Baseado em Json que facilita a automática de comandos ea recepção de respastas.
