SessionManager 탐지: 새롭게 발견된 백도어, RCE 가능

SessionManager 백도어는 2021년 봄경 처음 등장하여 Microsoft IIS 서버를 대상으로 했습니다. 이 악성코드 샘플은 2022년 초에야 처음 조사되었습니다.

최근에 노출된 백도어는 아프리카, 남아시아, 남미, 중동 및 유럽 전역에 걸쳐 20개 이상의 정부 및 비정부 조직에 영향을 미쳤습니다. 보안 연구원들은 일부 아티팩트가 공격이 Gelsemium APT에 의해 시작되었을 가능성을 나타낸다고 추정합니다.

이 백도어는 Exchange 서버의 ProxyLogon 보안 취약점 중 하나를 악용하며, Windows PC의 웹 서버 애플리케이션인 인터넷 정보 서비스(IIS) 모듈로 위장합니다.

SessionManager 탐지

SOC Prime의 플랫폼은 새로운 위협을 적시에 탐지할 수 있도록 독특한 탐지 콘텐츠의 거의 실시간 배달을 큐레이션합니다. 전용 Sigma 규칙 를 활용하여, 저희의 날카로운 Threat Bounty Program 개발자 Kaan Yeniyol이 설계한 새로운 SessionManager 백도어에 의한 시스템 손상이 있었는지 확인하십시오:

연관된 파일의 탐지에 의한 (file_event를 통한) 잠재적 SessionManager IIS 백도어 (2022년 6월)

해서 위협 현상금 프로그램에 참여함으로써, 개별 연구자와 위협 사냥꾼들은 협력적 사이버 방어에 자신의 기여를 할 수 있습니다.

위 탐지 규칙은 MITRE ATT&CK® 프레임워크 v.10을 기반으로 하며, User Execution (T1204) 기술에 의해 표현된 실행 전술을 다루고, 25개의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다.

기타 큐레이션된 Sigma 및 YARA 규칙을 방대한 탐지 콘텐츠 라이브러리 내에서 탐색하려면 SOC Prime의 플랫폼에 활성 계정으로 가입하거나 로그인하세요. Detect & Hunt 버튼을 클릭하여 자세히 알아보십시오. 

Detect & Hunt 위협 맥락 탐색

SessionManager 설명

C++로 코딩된 SessionManager는 지속적인 초기 액세스 백도어로, 공격자가 파일을 관리하고, 서버에서 바이너리를 실행하고, 악성 페이로드를 삭제하며, 탐지되지 않은 상태로 손상된 네트워크의 다른 엔드포인트에 액세스할 수 있도록 합니다.

IIS 애플리케이션에 의해 설치되면(서버에 전송된 HTTP 요청을 처리하기 위해 필요), SessionManager 모듈은 해커의 HTTP 요청을 처리하여 숨겨진 명령을 실행한 다음, 이를 합법적인 작업처럼 서버가 처리하도록 전달합니다. 연구 데이터에 따르면, 이 백도어는 수많은 반복을 통해 수정되었으며, 정교한 방어 회피 기능이 강화되었습니다.

공격이 더욱 정교해져 기업이 데이터 손실에 취약해지기 때문에, 기업의 사이버 보안 자세를 성숙시키는 데 시간과 자원을 투자하는 것이 중요합니다. InfoSeC 전문가들은 SOC Prime의 Detection as Code 플랫폼 에 참여하여 보안 환경에서 최신 위협을 탐지하고, 로그 소스와 MITRE ATT&CK 적용 범위를 향상시키며, 조직의 사이버 보안 투자 수익을 증가시키는 것을 환영합니다.