RGDoor

Entro GoldSparrow nel Backdoors

Traduci in:

RGDoor è una backdoor sviluppata in C ++ e utilizzata dall'attore delle minacce dietro la shell di TwoFace Web. Secondo i ricercatori che hanno analizzato la minaccia, il ruolo di RGDoor è quello di essere più un piano di emergenza nel caso in cui le principali minacce We shell degli hacker vengano eliminate dalla rete compromessa. Nonostante le limitate capacità operative di RGDoor, fornisce comunque molte funzionalità che possono essere utilizzate per vari scopi dannosi. RGDoor è stato schierato in una campagna contro i server di otto organizzazioni governative del Medio Oriente. Anche un istituto finanziario e uno scolastico hanno avuto i propri server compromessi dalla minaccia.

Essenzialmente, RGDoor è una backdoor di Internet Information Services. Essendo sviluppato in C ++ significa che è compilato come file DLL (Dynamic Link Library). Gli hacker hanno quindi sfruttato la funzionalità aggiunta in IIS 7 per caricare moduli C ++ esterni. La funzione è stata progettata per consentire un'espansione delle funzionalità ISS predefinite eseguendo azioni personalizzate. A differenza di TwoFace, RGDoor non ha una rappresentazione visiva della shell poiché è un modulo HTTP ISS. Un potenziale metodo di consegna per RGDoor deve essere eliminato dalla shell di TwoFace Web eseguendo la riga di comando appropriata:

'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE install module / name: [module name] / image: [path to RGDoor DLL] / add: true'

Una volta distribuito sul server di destinazione, RGDoor entra in una modalità dormiente in cui è attivamente in ascolto dei comandi. La minaccia analizza ogni richiesta HTTP POST in entrata ricevuta dal server ISS e controlla il campo "Cookie" HTTP per eventuali potenziali istruzioni da parte degli aggressori. Per accedere al campo Cookie, viene effettuata la seguente chiamata di funzione:

"pHttpContext-> GetRequest () -> GetHeader (" Cookie ", NULL)"

Dopo una serie di decodifica e decrittografia, RGDoor esegue la scansione del testo in chiaro derivato per uno dei tre comandi: "cmd $", "upload $" e "download $". Sebbene si tratti di un insieme piuttosto ristretto di comandi, forniscono sufficienti opportunità agli aggressori di caricare o scaricare file sul proprio server, nonché di eseguire comandi arbitrari tramite il prompt dei comandi.

La presenza di RGDoor segnala che l'attore ha in programma attacchi persistenti contro gli obiettivi designati con l'istituzione di una seconda backdoor.

Ricerca

Cambia regione

RGDoor

Invia commento

Tendenza

Truffa via e-mail "YouPorn".

Safe Search Eng

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...