Detección de SessionManager: Puerta trasera recién descubierta permite RCE
Tabla de contenidos:
El backdoor SessionManager surgió por primera vez alrededor de la primavera de 2021, apuntando a los servidores Microsoft IIS. Las muestras del malware se investigaron por primera vez a principios de 2022.
El backdoor recién expuesto ha afectado a más de 20 entidades gubernamentales y no gubernamentales en África, Asia del Sur, América del Sur, Medio Oriente y Europa. Los investigadores de seguridad especulan que algunos artefactos indican que los ataques pueden ser iniciados por Gelsemium APT.
El backdoor explota uno de los agujeros de seguridad ProxyLogon en los servidores Exchange y se disfraza como un módulo para Internet Information Services (IIS), una aplicación de servidor web para PCs con Windows.
Detectar SessionManager
La plataforma de SOC Prime cura la entrega en tiempo casi real de contenido de detección único que aborda amenazas emergentes para habilitar su detección oportuna. Utilice la regla Sigma elaborada por nuestro astuto desarrollador del Programa de Recompensas de Amenazas, Kaan Yeniyol, para identificar si su sistema fue comprometido por un nuevo backdoor SessionManager:
Al unirse a las filas del Programa de Recompensas de Amenazas, los investigadores individuales y cazadores de amenazas pueden hacer sus propias contribuciones a la defensa cibernética colaborativa.
La regla de detección anterior está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución representada por la técnica de Ejecución de Usuario (T1204), y se puede usar en 25 plataformas SIEM, EDR y XDR.
Asegúrese de registrarse o iniciar sesión en la plataforma de SOC Prime con su cuenta activa para explorar otras reglas Sigma y YARA seleccionadas dentro de la vasta biblioteca de contenido de detección. Haga clic en el botón Detectar y Cazar para saber más.
Detectar y Cazar Explorar Contexto de Amenaza
Descripción de SessionManager
Codificado en C++, SessionManager es un backdoor de acceso inicial persistente que permite a los atacantes gestionar archivos, ejecutar binarios desde el servidor, dejar cargas maliciosas y acceder a otros puntos en la red comprometida mientras permanece sin ser detectado.
Una vez instalado por aplicaciones IIS (requerido para manejar las solicitudes HTTP que se envían al servidor), el módulo SessionManager procesa las solicitudes HTTP de los hackers, ejecuta las instrucciones ocultas y luego las pasa al servidor para ser procesadas como operaciones legítimas. Según los datos de investigación, el backdoor ha sido modificado a través de numerosas iteraciones, mejorado con sofisticadas capacidades de evasión defensiva.
Con los ataques volviéndose más sofisticados, dejando a las empresas vulnerables a la pérdida de datos, es crucial invertir tiempo y recursos en madurar la postura de ciberseguridad de su empresa. Los profesionales de InfoSeC son bienvenidos a unirse a la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas en su entorno de seguridad, mejorar su fuente de registro y cobertura MITRE ATT&CK, y mejorar el ROI de ciberseguridad de su organización.
