Detecção do SessionManager: Novo Backdoor Descoberto Permite RCE
Índice:
O backdoor SessionManager surgiu pela primeira vez por volta da primavera de 2021, visando servidores Microsoft IIS. As amostras de malware foram investigadas apenas no início de 2022.
O backdoor recentemente exposto afetou mais de 20 entidades governamentais e não governamentais em toda a África, Sul da Ásia, América do Sul, Oriente Médio e Europa. Pesquisadores de segurança especulam que alguns artefatos indicam que os ataques podem ser iniciados pelo Gelsemium APT.
O backdoor explora uma das falhas de segurança ProxyLogon em servidores Exchange e disfarça-se como um módulo para Internet Information Services (IIS), uma aplicação de servidor web para PCs Windows.
Detectar SessionManager
A plataforma da SOC Prime entrega em tempo quase real conteúdo exclusivo de detecção abordando ameaças emergentes para permitir sua detecção oportuna. Utilize a regra Sigma criada pelo nosso desenvolvedor do programa Threat Bounty, Kaan Yeniyol, para identificar se o seu sistema foi comprometido por um novo backdoor SessionManager:
Ao juntar-se às fileiras do Threat Bounty Program, pesquisadores individuais e caçadores de ameaças podem fazer suas próprias contribuições para a defesa cibernética colaborativa.
A regra de detecção acima está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Execução representada pela técnica de Execução pelo Usuário (T1204), e pode ser usada em 25 plataformas SIEM, EDR e XDR.
Certifique-se de se cadastrar ou entrar na plataforma da SOC Prime com sua conta ativa para explorar outras regras Sigma e YARA curadas dentro da vasta biblioteca de conteúdo de detecção. Clique no Detectar & Caçar botão para saber mais.
Detectar & Caçar Explorar Contexto de Ameaças
Descrição do SessionManager
Codificado em C++, o SessionManager é um backdoor de acesso inicial persistente que permite aos atacantes gerenciar arquivos, executar binários do servidor, soltar cargas maliciosas e acessar outros endpoints na rede comprometida sem ser detectado.
Uma vez instalado por aplicativos IIS (necessário para lidar com as solicitações HTTP enviadas ao servidor), o módulo SessionManager processa solicitações HTTP dos hackers, executa as instruções ocultas e as encaminha para o servidor, para serem processadas como operações legítimas. De acordo com os dados de pesquisa, o backdoor foi modificado por meio de inúmeras iterações, aprimorado com capacidades sofisticadas de evasão defensiva.
Com os ataques se tornando mais sofisticados, deixando as empresas vulneráveis à perda de dados, é crucial investir tempo e recursos em amadurecer a postura de cibersegurança de sua empresa. Profissionais de InfoSeC são bem-vindos para se juntar à plataforma Detection as Code da SOC Prime para detectar as ameaças mais recentes em seu ambiente de segurança, melhorar suas fontes de log e cobertura MITRE ATT&CK, e aumentar seu ROI de cibersegurança.
