RGDoor
RGDoor ist eine in C ++ entwickelte Hintertür, die vom Bedrohungsakteur hinter der TwoFace-Web-Shell verwendet wird. Laut Forschern, die die Bedrohung analysiert haben, besteht die Rolle von RGDoor eher darin, ein Notfallplan zu sein, falls die Hauptbedrohungen der Hacker aus dem gefährdeten Netzwerk entfernt werden. Trotz der eingeschränkten Betriebsfähigkeiten von RGDoor bietet es immer noch zahlreiche Funktionen, die für verschiedene schädliche Zwecke verwendet werden können. RGDoor wurde in einer Kampagne gegen die Server von acht Regierungsorganisationen im Nahen Osten eingesetzt. Bei einer Finanz- und einer Bildungseinrichtung wurden die Server ebenfalls durch die Bedrohung gefährdet.
RGDoor ist im Kern eine Hintertür für Internetinformationsdienste. In C ++ entwickelt zu werden bedeutet, dass es als DLL-Datei (Dynamic Link Library) kompiliert wird. Die Hacker nutzten dann die in IIS 7 hinzugefügte Funktionalität, um externe C ++ - Module zu laden. Die Funktion wurde entwickelt, um eine Erweiterung der Standard-ISS-Funktionen durch Ausführen benutzerdefinierter Aktionen zu ermöglichen. Im Gegensatz zu TwoFace verfügt RGDoor nicht über eine visuelle Darstellung der Shell, da es sich um ein ISS-HTTP-Modul handelt. Eine mögliche Übermittlungsmethode für RGDoor besteht darin, von der TwoFace- Web-Shell durch Ausführen der entsprechenden Befehlszeile gelöscht zu werden:
'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE Installationsmodul / Name: [Modulname] / Image: [Pfad zur RGDoor-DLL] / add: true'
Nach der Bereitstellung auf dem Zielserver wechselt RGDoor in einen Ruhezustand, in dem es aktiv auf Befehle wartet. Die Bedrohung durchsucht jede eingehende HTTP-POST-Anforderung, die vom ISS-Server empfangen wird, und sucht im HTTP-Feld "Cookie" nach möglichen Anweisungen der Angreifer. Um auf das Cookie-Feld zuzugreifen, wird folgender Funktionsaufruf ausgeführt:
'pHttpContext-> GetRequest () -> GetHeader ("Cookie", NULL)'
Nach einer Reihe von Dekodierungen und Entschlüsselungen durchsucht RGDoor den abgeleiteten Klartext nach einem von drei Befehlen: "cmd $", "upload $" und "download $". Dies ist zwar ein ziemlich enger Satz von Befehlen, bietet den Angreifern jedoch ausreichend Gelegenheit, Dateien auf ihren Dienst hoch- oder herunterzuladen und beliebige Befehle über die Eingabeaufforderung auszuführen.
Das Vorhandensein von RGDoor signalisiert, dass der Akteur Pläne für anhaltende Angriffe gegen die festgelegten Ziele mit der Einrichtung einer zweiten Hintertür hat.
