SessionManager 検出: 新たに発見されたバックドアがRCEを可能にする

SessionManagerバックドアは2021年春頃に初めて現れ、Microsoft IISサーバーを標的としました。このマルウェアサンプルは2022年初めに初めて調査されました。

最近明らかになったバックドアは、アフリカ、南アジア、南アメリカ、中東、ヨーロッパの20以上の政府および非政府組織に影響を及ぼしました。セキュリティ研究者は、一部のアーティファクトがGelsemium APTによって攻撃が開始された可能性を示唆していると推測しています。

バックドアは、ExchangeサーバーのProxyLogonセキュリティホールを利用し、Microsoft IIS（Internet Information Services）のモジュールとして偽装しています。

SessionManagerを検出する

SOC Primeのプラットフォームは、浮上する脅威に対応するユニークな検出コンテンツをほぼリアルタイムで提供し、タイムリーな検出を可能にしています。専用の Sigmaルール は、敏腕のThreat Bounty Program開発者 Kaan Yeniyolによって作成され、システムが新たなSessionManagerバックドアによって侵害されたかを特定します。

関連ファイルの検出（file_event経由）による可能性のあるSessionManager IISバックドア（2022年6月）

のメンバーになることで、個々の研究者や脅威ハンターは協調的なサイバー防御に貢献することができます。 のメンバーになることで、個々の研究者や脅威ハンターは協調的なサイバー防御に貢献することができます。上記の検出ルールは、ユーザー実行（T1204）技術によって表される実行戦術に対応するMITRE ATT&CK®フレームワークv.10と整合しています。25のSIEM、EDR、XDRプラットフォームで使用できます。

The detection rule above is aligned with the MITRE ATT&CK® framework v.10, addressing the Execution tactic represented by the User Execution (T1204) technique, and can be used across 25 SIEM, EDR, and XDR platforms.

その他のキュレートされたSigmaおよびYARAルールを探索するには、アクティブなアカウントでSOC Primeのプラットフォームにサインアップまたはログインしてください。 Detect & Hunt ボタンをクリックして詳細を確認してください。

Detect & Hunt 脅威のコンテキストを探索する

SessionManagerの説明

C++でコード化されたSessionManagerは、持続的な初期アクセスバックドアであり、攻撃者がファイルを管理し、バイナリをサーバーから実行し、悪意のあるペイロードをドロップし、侵害されたネットワークの他のエンドポイントへのアクセスを可能にしつつ、検出されずに作業を行います。

IISアプリケーションによってインストールされると（サーバーに送信されるHTTPリクエストを処理するために必要）、SessionManagerモジュールはハッカーからのHTTPリクエストを処理し、隠された命令を実行し、その後サーバーに送信して正規の操作のように処理させます。 研究データによると、バックドアは多くの反復を経て修正され、洗練された防御回避能力を強化しています。

攻撃が高度化して企業がデータ損失に脆弱になる中、サイバーセキュリティ体制の成熟化に時間とリソースを投資することが重要です。情報セキュリティの専門家は SOC PrimeのDetection as Codeプラットフォーム に参加して、セキュリティ環境で最新の脅威を検出し、ログソースやMITRE ATT&CKカバレッジを向上させ、サイバーセキュリティのROIを高めることができます。