Rilevamento di SessionManager: Nuova Backdoor Scoperta Consente RCE
Indice:
Il malware SessionManager è emerso per la prima volta intorno alla primavera del 2021, prendendo di mira i server Microsoft IIS. I campioni di malware sono stati esaminati solo all’inizio del 2022.
La recente backdoor scoperta ha colpito più di 20 entità governative e non governative in Africa, Asia meridionale, Sud America, Medio Oriente ed Europa. I ricercatori di sicurezza ipotizzano che alcuni artefatti indicano che gli attacchi potrebbero essere iniziati da Gelsemium APT.
La backdoor sfrutta una delle vulnerabilità di ProxyLogon nei server Exchange e si camuffa come modulo per Internet Information Services (IIS), un’applicazione server web per PC Windows.
Rileva SessionManager
La piattaforma di SOC Prime cura la fornitura in tempo quasi reale di contenuti di rilevamento unici che affrontano le minacce emergenti per consentirne il rilevamento tempestivo. Usa la regola Sigma creata dal nostro attento sviluppatore del Threat Bounty Program, Kaan Yeniyol, per identificare se il tuo sistema è stato compromesso da una nuova backdoor SessionManager:
Unendoti ai ranghi del Threat Bounty Program, i singoli ricercatori e i cacciatori di minacce possono dare il proprio contributo alla difesa informatica collaborativa.
La regola di rilevamento sopra è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione rappresentata dalla tecnica User Execution (T1204), e può essere utilizzata su 25 piattaforme SIEM, EDR e XDR.
Assicurati di registrarti o accedere alla piattaforma di SOC Prime con il tuo account attivo per esplorare altre regole Sigma e YARA curate all’interno della vasta libreria di contenuti di rilevamento. Clicca sul pulsante Detect & Hunt per saperne di più.
Detect & Hunt Esplora Contesto delle Minacce
Descrizione di SessionManager
Scritto in C++, SessionManager è una backdoor di accesso iniziale persistente che consente agli aggressori di gestire file, eseguire binari dal server, rilasciare payload dannosi e accedere ad altri punti della rete compromessa rimanendo non rilevato.
Una volta installato dalle applicazioni IIS (necessario per gestire le richieste HTTP inviate al server), il modulo SessionManager elabora le richieste HTTP degli hacker, esegue le istruzioni nascoste e le passa al server per essere trattate come operazioni legittime. Secondo i dati di ricerca, la backdoor è stata modificata attraverso numerose iterazioni, migliorata con capacità sofisticate di evasione difensiva.
Con gli attacchi che diventano più sofisticati, lasciando le aziende vulnerabili alla perdita di dati, è cruciale investire tempo e risorse nella maturazione della postura di cybersecurity della tua azienda. I professionisti InfoSeC sono invitati a unirsi alla piattaforma Detection as Code di SOC Prime per rilevare le ultime minacce nel tuo ambiente di sicurezza, migliorare la tua fonte di log e la copertura MITRE ATT&CK, e incrementare il ROI della cybersecurity della tua organizzazione.
