Explotación de vulnerabilidades en IIS
Lazarus es un grupo norcoreano de ciberespionaje y cibercrimen al que recientemente se ha observado que explota vulnerabilidades específicas de Microsoft IIS. El grupo de ciberatacantes llevó a cabo anteriormente algunos de los ataques cibernéticos más notorios de la historia, incluido el incidente del ransomware WannaCry de 2017 y el robo de 100 millones de dólares en moneda virtual en junio de 2022.
Microsoft IIS tiene funciones de seguridad integradas, es esencial mantenerlo actualizado. Los atacantes han explotado servidores IIS vulnerables a los que no se les habían aplicado los últimos parches mediante el método de carga lateral de DLL. Los servidores Windows IIS alojan contenido web para organizaciones, incluidos sitios, aplicaciones y servicios como Outlook en la Web de Microsoft Exchange. Es una solución flexible disponible ya que Windows NT admite los protocolos HTTP, HTTPS, FTP, FTPS, SMTP y NNTP.
La carga lateral de DLL consiste en cargar una DLL maliciosa en software vulnerable y, cuando se invoca el programa legítimo, la DLL maliciosa también se activa; esto ayuda al malware a evadir la detección de las soluciones de seguridad.
El atacante coloca la DLL maliciosa (msvcr100.dll) en el mismo directorio de la aplicación legítima (Wordconv.exe) a través del proceso del servidor web Windows IIS, w3wp.exe. Una vez que la DLL maliciosa se coloca correctamente, la DLL maliciosa también se ejecutará junto con la ejecución normal de la aplicación. Este método se conoce como ataque de carga lateral de DLL.
msvcr100.dll utiliza el algoritmo Salsa20 para descifrar el archivo PE codificado (msvcr100.dat) y la clave (df2bsr2rob5s1f8788yk6ddi4x0wz1jq).
Registro de Ejecución de Wordconv.exe
Una vez que se establece el acceso inicial, el atacante implementa el malware (diagn.dll) que sirve como complemento para Notepad+. Diagn.dll recibe el archivo PE codificado con el algoritmo RC6 y el argumento de la línea de comando, despues utilizando una clave internamente codificada, el archivo de datos se descifra, lo que permite la ejecución del archivo PE en la memoria de la computadora.
Clave RC6: 5A 27 A3 E8 91 45 BE 63 34 23 11 4A 77 91 53 31 5F 47 14 E2 FF 75 5F D2 3F 58 55 6C A8 BF 07
Después de adquirir credenciales, el actor de amenazas realiza un reconocimiento interno antes de utilizar el acceso remoto (puerto 3389) para realizar un movimiento lateral hacia la red interna.
Recomendaciones
- Actualizar a la versión mas reciente IIS 10 versión 18.09.
- La mejor práctica para proteger sus servidores IIS de ataques de carga lateral de DLL es bloquear los IoC identificados o capturados en todas sus aplicaciones de seguridad, como firewalls, puntos finales, IDS/IPS, servidores proxy web o cualquier dispositivo que haya implementado para proteger la red.
- También es recomendable actualizar a las versiones mas actuales, Al actualizar su software con regularidad, puede asegurarse de estar protegido contra estas vulnerabilidades conocidas.
Detección de archivos
- Trojan/Win.LazarLoader.C5427612 (2023.05.15.02)
- Trojan/Win.LazarLoader.C5427613 (2023.05.15.03)
- C:\ProgramData\USOShared\Wordconv.exe
- C:\ProgramData\USOShared\msvcr100.dll
- e501bb6762c14baafadbde8b0c04bbd6: diagn.dll
- 228732b45ed1ca3cda2b2721f5f5667c: msvcr100.dll
- 47d380dd587db977bf6458ec767fee3d:? (Variante de malware de msvcr100.dll)
- 4d91cd34a9aae8f2d88e0f77e812cef7: cylvc.dll (variante de malware de msvcr100.dll)
- T1003.001 (LSASS Memory)
- T1005 (Data from Local System)
- T1027 (Obfuscated Files or Information)
- T1055.002 (Portable Executable Injection)
- T1082 (System Information Discovery)
- T1083 (File and Directory Discovery)
- T1105 (Ingress Tool Transfer)
- T1140 (Deobfuscate/Decode Files or Information)
- T1190 (Exploit Public-Facing Application)
- T1204.002 (Malicious File)
- T1574.001 (DLL Search Order Hijacking)
- T1574.002 (DLL Side-Loading)
Referencias
- https://thesecmaster.com/how-lazarus-group-abuses-iis-servers-to-spread-malware-how-should-you-protect-your-iis-servers-from-dll-side-loading-attacks/ #How_Should_You_Detect_and_Protect_Your_IIS_Servers_from_DLL_Side-loading_Attacks
- https://thehackernews.com/2023/09/protecting-your-microsoft-iis-servers.html
- https://asec.ahnlab.com/en/53132/
.jpg)
