Détection de SessionManager : une porte dérobée nouvellement découverte permet l’exécution de code à distance

La porte dérobée SessionManager est apparue pour la première fois vers le printemps 2021, ciblant les serveurs Microsoft IIS. Les échantillons de logiciels malveillants n’ont été examinés qu’au début de 2022.

La porte dérobée récemment dévoilée a affecté plus de 20 entités gouvernementales et non gouvernementales en Afrique, en Asie du Sud, en Amérique du Sud, au Moyen-Orient et en Europe. Les chercheurs en sécurité pensent que certains artefacts indiquent que les attaques pourraient être initiées par Gelsemium APT.

La porte dérobée exploite l’une des failles de sécurité ProxyLogon dans les serveurs Exchange et se déguise en module pour Internet Information Services (IIS), une application de serveur web pour les PC Windows.

Détecter SessionManager

La plateforme de SOC Prime assure la livraison quasi en temps réel de contenus de détection uniques traitant des menaces émergentes pour permettre leur détection en temps opportun. Utilisez la règle Sigma créée par notre développeur enthousiaste du programme Threat Bounty, Kaan Yeniyol, pour vérifier si votre système a été compromis par une nouvelle porte dérobée SessionManager :

Porte dérobée IIS SessionManager (juin 2022) par détection de fichiers associés (via file_event)

En rejoignant les rangs du Threat Bounty Program, les chercheurs individuels et les chasseurs de menaces peuvent apporter leurs propres contributions à la défense cybersécuritaire collaborative.

La règle de détection ci-dessus est alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique d’exécution représentée par la technique d’exécution de l’utilisateur (T1204), et peut être utilisée sur 25 plateformes SIEM, EDR et XDR.

Assurez-vous de vous inscrire ou de vous connecter à la plateforme de SOC Prime avec votre compte actif pour explorer d’autres règles Sigma et YARA dans la vaste bibliothèque de contenus de détection. Cliquez sur le bouton Detect & Hunt pour en savoir plus.

Detect & Hunt Explorer le contexte des menaces

Description de SessionManager

Codé en C++, SessionManager est une porte dérobée d’accès initial persistant qui permet aux attaquants de gérer des fichiers, d’exécuter des binaires depuis le serveur, de déposer des charges utiles malveillantes, et d’accéder à d’autres points d’extrémité dans le réseau compromis tout en restant indétecté.

Une fois installé par les applications IIS (nécessaires pour traiter les requêtes HTTP envoyées au serveur), le module SessionManager traite les requêtes HTTP des hackers, exécute les instructions cachées, puis les transmet au serveur pour être traitées comme des opérations légitimes. Selon les données de recherche, la porte dérobée a été modifiée à travers de nombreuses itérations, améliorée avec des capacités sophistiquées d’évasion de défense.

Avec des attaques devenant de plus en plus sophistiquées, rendant les entreprises vulnérables à la perte de données, il est crucial d’investir du temps et des ressources dans l’amélioration de la posture de cybersécurité de votre entreprise. Les professionnels de l’InfoSeC sont invités à rejoindre la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer votre source de journalisation et votre couverture MITRE ATT&CK, et renforcer le retour sur investissement de votre organisation en cybersécurité.