SessionManager-Erkennung: Neu entdeckte Hintertür ermöglicht RCE
Inhaltsverzeichnis:
Die SessionManager-Backdoor tauchte erstmals um den Frühling 2021 auf und zielte auf Microsoft IIS-Server ab. Die Malware-Proben wurden erst Anfang 2022 untersucht.
Die kürzlich aufgedeckte Backdoor hat mehr als 20 Regierungs- und Nichtregierungsorganisationen in Afrika, Südasien, Südamerika, dem Nahen Osten und Europa betroffen. Sicherheitsforscher spekulieren, dass einige Artefakte darauf hindeuten, dass die Angriffe möglicherweise von Gelsemium APT initiiert wurden.
Die Backdoor nutzt eines der ProxyLogon-Sicherheitslücken in Exchange-Servern aus und tarnt sich als Modul für den Internet Information Services (IIS), eine Webserveranwendung für Windows-PCs.
SessionManager erkennen
Die Plattform von SOC Prime kuratiert die nahezu in Echtzeit erfolgende Bereitstellung einzigartiger Erkennungsinhalte, die auf neue Bedrohungen abzielen, um deren rechtzeitige Erkennung zu ermöglichen. Nutzen Sie die spezielle Sigma-Regel erstellt von unserem aufmerksamen Threat Bounty Program-Entwickler, Kaan Yeniyol, um zu erkennen, ob Ihr System von einer neuen SessionManager-Backdoor kompromittiert wurde:
Indem Sie den Reihen des Threat Bounty Programbeitreten, können einzelne Forscher und Bedrohungsjäger ihre eigenen Beiträge zur kollaborativen Cyberverteidigung leisten.
Die oben angegebene Erkennungsregel ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt, das die Ausführungstaktik, die durch die User Execution (T1204) Technik dargestellt wird, adressiert und kann auf 25 SIEM-, EDR- und XDR-Plattformen verwendet werden.
Stellen Sie sicher, dass Sie sich mit Ihrem aktiven Konto bei der SOC Prime-Plattform anmelden oder einloggen, um andere kuratierte Sigma- und YARA-Regeln in der umfangreichen Bibliothek der Erkennungsinhalte zu erkunden. Klicken Sie auf den Detect & Hunt Button, um mehr zu erfahren.
Detect & Hunt Bedrohungskontext Erkunden
SessionManager Beschreibung
In C++ codiert, ist SessionManager eine persistente Zugang-Backdoor, die Angreifern ermöglicht, Dateien zu verwalten, Binärdateien vom Server auszuführen, bösartige Payloads abzulegen und auf andere Endpunkte im kompromittierten Netzwerk zuzugreifen, während sie unentdeckt bleibt.
Einmal von IIS-Anwendungen installiert (die erforderlich sind, um die an den Server gesendeten HTTP-Anfragen zu bearbeiten), verarbeitet das SessionManager-Modul HTTP-Anfragen von den Hackern, führt die versteckten Anweisungen aus und leitet sie dann an den Server weiter, um wie legitime Operationen bearbeitet zu werden. Laut der Forschungsdatenwurde die Backdoor durch zahlreiche Iterationen modifiziert und mit ausgeklügelten Schutzumgehungsfähigkeiten verbessert.
Mit zunehmender Komplexität der Angriffe, wodurch Unternehmen anfällig für Datenverluste werden, ist es entscheidend, Zeit und Ressourcen in die Verbesserung der Cybersicherheitslage Ihres Unternehmens zu investieren. InfoSeC-Profis sind willkommen, der SOC Prime’s Detection as Code Plattform beizutreten, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, Ihre Protokollquelle und MITRE ATT&CK-Abdeckung zu verbessern und den ROI für Cybersicherheit Ihrer Organisation zu steigern.
