RGDoor

Por GoldSparrow em Backdoors

Traduzir Para:

RGDoor é um backdoor desenvolvido em C ++ e empregado pelo agente de ameaças por trás do shell da Web TwoFace. De acordo com os pesquisadores que analisaram a ameaça, o papel do RGDoor é ser mais um plano de contingência, caso as principais ameaças de hackers contra nós sejam eliminadas da rede comprometida. Apesar das capacidades operacionais limitadas do RGDoor, ele ainda oferece muitas funcionalidades que podem ser usadas para vários fins prejudiciais. RGDoor foi implantado em uma campanha contra os servidores de oito organizações governamentais do Oriente Médio. Uma instituição financeira e uma educacional também tiveram seus servidores comprometidos pela ameaça.

Em sua essência, RGDoor é um backdoor dos Serviços de Informações da Internet. Sendo desenvolvido em C ++ significa que ele é compilado como um arquivo de biblioteca de vínculo dinâmico (DLL). Os hackers então exploraram a funcionalidade adicionada no IIS 7 para carregar módulos C ++ externos. O recurso foi projetado para permitir uma expansão dos recursos padrão do ISS, realizando ações personalizadas. Ao contrário do TwoFace, o RGDoor não tem uma representação visual do shell por ser um módulo ISS HTTP. Um método de entrega potencial para RGDoor é ser eliminado pelo shell do TwoFace Web executando a linha de comando apropriada:

'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE módulo de instalação / nome: [nome do módulo] / imagem: [caminho para RGDoor DLL] / add: true'

Uma vez implantado no servidor de destino, o RGDoor entra em um modo inativo, onde está ouvindo ativamente os comandos. A ameaça verifica cada solicitação HTTP POST de entrada recebida pelo servidor ISS e verifica o campo HTTP 'Cookie' para obter quaisquer instruções potenciais dos invasores. Para acessar o campo Cookie, é feita a seguinte chamada de função:

'pHttpContext-> GetRequest () -> GetHeader ("Cookie", NULL)'

Após uma série de decodificação e descriptografia, RGDoor examina o texto não criptografado derivado em busca de um dos três comandos - 'cmd $', 'upload $' e 'download $'. Embora seja um conjunto bastante restrito de comandos, eles fornecem oportunidades suficientes para que os invasores carreguem ou baixem arquivos em seus servidores, bem como executem comandos arbitrários por meio do prompt de comando.

A presença de RGDoor sinaliza que o ator tem planos para ataques persistentes contra os alvos designados com o estabelecimento de uma segunda porta dos fundos.

Buscar

Mudar de região

RGDoor

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela