Инцидент с вторжением в веб-оболочку, злоумышленники использовали рабочий IIS для утечки украденных данных.

security IOC

Злоумышленник загрузил веб-оболочку (веб-шел) на сервер IIS Internet Information Services (w3wp.exe), создав новую учетную запись и изменив пароль одного из пользователей. Для управления атакой злоумышленник использовал обратную TCP-оболочку, подключенную к IP-адресу.

Описание

Trend Micro предприняли меры по реагированию на этот инцидент. Был обнаружен подозрительный двоичный файл, исполняемый процессом w3wp.exe, что указывает на потенциальную эксплуатацию веб-сервера. В ходе расследования были обнаружены многочисленные полезные нагрузки, загруженные в каталог C:\Users\Public.

Злоумышленник создал веб-оболочку на сервере IIS, после чего наблюдалось взаимодействие с веб-оболочкой через POST-запросы. В результате были порождены процессы cmd.exe и powershell.exe. Злоумышленник также выполнял команды обнаружения с использованием встроенных системных инструментов. Он также создал новую учетную запись и изменил пароль существующего пользователя.

Злоумышленник использовал закодированную команду PowerShell для создания обратной TCP-оболочки, позволяющей ему выполнить команды для загрузки дополнительных инструментов. Он установил приложение для удаленного рабочего стола AnyDesk и настроил его на автоматический запуск при старте Windows.

Также были обнаружены архивные файлы с содержимым рабочей директории сервера, которые были загружены на собственный сервер IIS.

Indicators of Compromise

IPv4

  • 167.88.173.253
  • 54.255.198.171
  • 86.48.10.109

SHA1

  • 44ceb7e93498c89c7035bab4a494f95bc6267609
  • 4a8eb063e811111b03c5d2c81b20f34ccaf63dd2
  • 4e49beee8548cacb2fab3e2260b2255b86fd6b13
  • 7b3d29d83f2ac80a24f8eae791d563aec8311c6e
  • c74112afef359d2bf6b2879358b9651ef8d1c12c
  • e5746699eace0b47aa47fbefcf5aee67e67cec95
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий