RGDoor
RGDoor er en bagdør udviklet i C ++ og ansat af trusselsaktøren bag TwoFace Web shell. Ifølge forskere, der analyserede truslen, er RGDoors rolle at være mere en beredskabsplan, hvis de vigtigste We shell-trusler fra hackere bliver renset fra det kompromitterede netværk. På trods af RGDoors begrænsede operationelle evner giver den stadig masser af funktionalitet, der kan bruges til forskellige skadelige formål. RGDoor blev indsat i en kampagne mod serverne fra otte mellemøstlige regeringsorganisationer. En finansiel og en uddannelsesinstitution fik også deres servere kompromitteret af truslen.
I sin kerne er RGDoor en bagdør til Internet Information Services. At være udviklet i C ++ betyder, at den er kompileret som en dynamisk linkbibliotek (DLL) -fil. Hackerne udnyttede derefter funktionaliteten tilføjet i IIS 7 til at indlæse eksterne C ++ - moduler. Funktionen blev designet til at tillade en udvidelse af standard ISS-funktionerne ved at udføre brugerdefinerede handlinger. I modsætning til TwoFace har RGDoor ikke en visuel repræsentation af skallen på grund af at det er et ISS HTTP-modul. En potentiel leveringsmetode til RGDoor skal slettes af TwoFace Web-shell ved at udføre den relevante kommandolinje:
'%ssystemroot% \ system32 \ inetsrv \ APPCMD.EXE installeringsmodul / navn: [modulnavn] / billede: [sti til RGDoor DLL] / tilføj: sand'
Når RGDoor er implementeret på den målrettede server, går den i en hvilemodus, hvor den aktivt lytter efter kommandoer. Truslen scanner hver indgående HTTP POST-anmodning modtaget af ISS-serveren og ser på HTTP 'Cookie' -feltet for eventuelle instruktioner fra angriberne. For at få adgang til feltet Cookie foretages følgende funktionsopkald:
'pHttpContext-> GetRequest () -> GetHeader ("Cookie", NULL)'
Efter en række afkodning og dekryptering scanner RGDoor den afledte klare tekst for en af tre kommandoer - 'cmd $', 'upload $' og 'download $.' Selvom dette er et ret snævert sæt kommandoer, giver de angriberne tilstrækkelige muligheder for at uploade eller downloade filer til deres serv samt udføre vilkårlige kommandoer via kommandoprompten.
Tilstedeværelsen af RGDoor signalerer, at skuespilleren har planer om vedvarende angreb mod de udpegede mål med oprettelsen af en anden bagdør.
