RGDoor
RGDoor is een achterdeur die is ontwikkeld in C ++ en wordt gebruikt door de bedreigingsacteur achter de TwoFace Web-shell. Volgens onderzoekers die de dreiging hebben geanalyseerd, is de rol van RGDoor om meer een noodplan te zijn voor het geval de belangrijkste We shell-dreigingen van de hackers uit het gecompromitteerde netwerk worden verwijderd. Ondanks de beperkte operationele mogelijkheden van RGDoor, biedt het nog steeds veel functionaliteit die voor verschillende schadelijke doeleinden kan worden gebruikt. RGDoor werd ingezet in een campagne tegen de servers van acht Midden-Oosterse overheidsorganisaties. Bij een financiële instelling en een onderwijsinstelling waren de servers ook aangetast door de dreiging.
In de kern is RGDoor een achterdeur voor internetinformatiediensten. Ontwikkeld in C ++ betekent dat het is gecompileerd als een DLL-bestand (Dynamic Link Library). De hackers maakten vervolgens gebruik van de functionaliteit die in IIS 7 werd toegevoegd om externe C ++ - modules te laden. De functie is ontworpen om een uitbreiding van de standaard ISS-mogelijkheden mogelijk te maken door aangepaste acties uit te voeren. In tegenstelling tot TwoFace heeft RGDoor geen visuele weergave van de shell omdat het een ISS HTTP-module is. Een mogelijke afleveringsmethode voor RGDoor is om te worden verwijderd door de TwoFace Web-shell door de juiste opdrachtregel uit te voeren:
'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE installatiemodule / naam: [modulenaam] / afbeelding: [pad naar RGDoor DLL] / add: true'
Eenmaal geïmplementeerd op de beoogde server, komt RGDoor in een slapende modus waar het actief luistert naar commando's. De bedreiging scant elk inkomend HTTP POST-verzoek dat wordt ontvangen door de ISS-server en kijkt in het HTTP-veld 'Cookie' op mogelijke instructies van de aanvallers. Om toegang te krijgen tot het Cookie-veld, wordt de volgende functieaanroep gedaan:
'pHttpContext-> GetRequest () -> GetHeader ("Cookie", NULL)'
Na een reeks van decodering en decodering, scant RGDoor de afgeleide cleartext voor een van de drie commando's - 'cmd $', 'upload $' en 'download $'. Hoewel dit een vrij beperkte reeks commando's is, bieden ze de aanvallers voldoende mogelijkheden om bestanden te uploaden of downloaden naar hun server, en om willekeurige commando's uit te voeren via de opdrachtprompt.
De aanwezigheid van RGDoor geeft aan dat de actor plannen heeft voor aanhoudende aanvallen op de aangewezen doelen met het instellen van een tweede achterdeur.
