1. Alertas de Seguridad
  2. El nuevo grupo de hacking APT apunta a servidores IIS de Microsoft con exploits ASP.NET

El nuevo grupo de hacking APT apunta a servidores IIS de Microsoft con exploits ASP.NET

Fecha de publicación: Lun, 02/08/2021 - 16:25

Descripción

El equipo de respuesta a incidentes de Sygnia identificó una actor de amenazas avanzado y persistente, que opera casi por completo en la memoria. Sygnia se refiere a este actor de amenazas como “Praying Mantis” (Mantis religiosa) o TG1021,

Los operadores detrás de la actividad apuntaron a los servidores de Windows con conexión a Internet, utilizando principalmente ataques de deserialización, para cargar una plataforma de malware personalizada completamente volátil diseñada para el entorno IIS de Windows.

El actor de la amenaza utilizó el acceso proporcionado mediante el IIS para realizar una actividad adicional, incluida la recolección de credenciales, el reconocimiento y el movimiento lateral dentro de las redes.

Las vulnerabilidades que aprovecha el actor incluyen:

  • Exploit RCE de encuesta de casilla de verificación (CVE-2021-27852).
  • Explotación de deserialización VIEWSTATE.
  • Deserialización insegura.
  • Exploit Telerik-UI (CVE-2019-18935 Y CVE-2017-11317).

Productos afectados

Servidores web Windows IIS:

  • IIS 1.0, Windows NT 3.51 Service Pack 3
  • IIS 2.0, Windows NT 4.0
  • IIS 3.0, Windows NT 4.0 Service Pack 3
  • IIS 4.0, Windows NT 4.0 Option Pack
  • IIS 5.0, Windows 2000
  • IIS 6.0, Windows Server 2003 y Windows XP Professional x64 Edition
  • IIS 7.0, Windows Vista (Solo Business y Ultimate) y Windows Server 2008
  • IIS 7.5, Windows 7 y Windows Server 2008 R2
  • IIS 8.0, Windows 8 y Windows Server 2012
  • IIS 8.5, Windows 8.1 y Windows Server 2012 R2
  • IIS 10, Windows Server 2016
  • IIS 10.0, Windows 10 y Windows Server 2019

Mitigación

No es fácil detectar la actividad del Praying Mantis. Esto debido a la volatilidad del malware residente en la memoria y a la vigilancia de su seguridad. Los investigadores de Sygnia escanean los servidores IIS con reglas YARA diseñadas para parchear vulnerabilidades de deserialización de .NET, detectar los signos de infección, detectar herramientas de esta familia de ataques y realizar un seguimiento activo de la actividad sospechosa en el entorno IIS.

Validar el uso de ASP.NET VIEWSTATE o una implementación personalizada del mismo (como un VSTATE comprimido en una encuesta de casillas de verificación) es fundamental para proteger las aplicaciones ASP.NET de las fallas de deserialización de VIEWSTATE.

La variable enableViewStataMac en la configuración de IIS debe establecerse en ‘Verdadero’ y la variable aspnet: AllowInsecureDeserializacion debe establecerse en ‘Falso’.

La clave del registro AspNetEnforceViewStateMac debe establecerse en’1’ y las claves de encriptación y verificación deben administrarse con cuidado. Los servidores deben usar claves de máquina o generadas automáticamente en el servidor IIS, y deben rotarse regularmente para reducir la probabilidad de explotación por claves robadas o comprometidas.

Indicadores de compromiso

Los archivos que puede encontrarse para verificar si es víctima del ataque son:

  • Default.aspx
    • f69d32157189945fa2bf47a690a8bd62
    • 4f10e10050d3da0b369f6636ede18a418ecab3a0
    • ea463bf8e502d0ff68736afa3dcbb59c969a6dc5776c0d7d10bb282ec3b62282
  • NodellSWeb.dll
    • de19ea6e9cdf2ac5d22a00d24898532d
    • 0786eb857c20dedb578e181cafba81ef0a097205
    • 562cfbab3c6c4daf3a7f81412c77d5b70402c48aed3f49066cb758742b068afd
  • PSRunner.dll
    • c8d12b90e9efd04a2c523efaef3d01d4
    • abd78cf430d91d07387e7305be6523249af38caa
    • 88cb332eb82f3c086eaa33607a173cf6410bff0b9a21d6692225ffb9bbe877c6
  • PotatoEx.dll
    • 92fd2e7d4dfced8c635fbcb54bb651b9
    • be6648ada0074cb76b5da7854c37cb784c52f989
    • 4a41a1b8adf426959ece8ebed0fccdcd5db1124eb0686c2f590b3b93392429e6
  • ExtDLL.dll
    • 6322a2a4b5dd34ecff3af22c4fac94cf
    • 5679ada30e9cdbdfe62a05448d76e7034489945a
    • 40b1bc34ecaddc7f08ca6399cb2a07520a7203394aa3accb1bb7d94aa21b35d6
  • WebTunnel.dll
    • 3a0f85d811916f66371b9a994472667c
    • ba251c5f2884e2535a2178509b9065a9be969965
    • 0d6dec29075584af62801306913430c1733882955eedcd9e9a4916b2dae4d457
  • AssemblyManager.dll
    • 0bd1d822710ca4cd8612cfcd78a12155
    • 94df55b21bbd7bb82ab269d7840a3188003e5d35
    • e1f3763092aa779fd291afe9aa18866658966332b13caa57d34d294120e1f608
  • RelfectiveLoadForms.dll
    • 9d705f6333fc8cb3e75dde04e7a71ca4
    • cb84313a708723268a0608929887ad16fcf83a26
    • 01e33b20366589b19f66ffdd560538e83fe1a63cab7f29e0a6754bcbb49ec7bb

HTTP maliciosos identificados:

  • User agent hard-coded in the tools – “Mozilla/5.0+(Windows+NT+10.0;+WOW64;+Trident/7.0;+ry:11.0)+like+Gecko”
  • HTTP parameter and cookie – “AESKey”
  • HTTP parameter - “__VSTATEGENERATOR”

Recomendación

Además del informe de Synia, hay recomendaciones publicadas el año 2020 por el Centro de Seguridad Cibernética del Gobierno de Australia (ACSC), que las puede revisar aquí.

Indicadores CVE

CVE-2021-27852, la vulnerabilidad de deserialización de datos no confiables en CheckboxWeb.dll de Checkbox Survey permite que un atacante remoto no autenticado ejecute código arbitrario.

CVE-2019-18935, Progress Telerik UI para ASP.NET AJAX hasta 2019.3.1023 contiene una vulnerabilidad de deserialización de .NET en la función RadAsyncUpload. Esto es explotable cuando se conocen las claves de cifrado debido a la presencia de CVE-2017-11317 o CVE-2017-11357, u otros medios. La explotación puede resultar en la ejecución remota de código.

CVE-2017-11317, Telerik.Web.UI en progreso Telerik UI para ASP.NET AJAX antes de R1 2017 y R2 antes de r2 2017 sp2 usa un cifrado RadAsyncUpload débil, que permite a atacantes remotos realizar cargas de archivos arbitrarios o ejecutar código arbitrario.

Referencias

https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

https://f.hubspotusercontent30.net/hubfs/8776530/TG1021%20-%20Praying%20Mantis%20Threat%20Actor.pdf