Злоумышленник загрузил веб-оболочку (веб-шел) на сервер IIS Internet Information Services (w3wp.exe), создав новую учетную запись и изменив пароль одного из пользователей. Для управления атакой злоумышленник использовал обратную TCP-оболочку, подключенную к IP-адресу.
Описание
Trend Micro предприняли меры по реагированию на этот инцидент. Был обнаружен подозрительный двоичный файл, исполняемый процессом w3wp.exe, что указывает на потенциальную эксплуатацию веб-сервера. В ходе расследования были обнаружены многочисленные полезные нагрузки, загруженные в каталог C:\Users\Public.
Злоумышленник создал веб-оболочку на сервере IIS, после чего наблюдалось взаимодействие с веб-оболочкой через POST-запросы. В результате были порождены процессы cmd.exe и powershell.exe. Злоумышленник также выполнял команды обнаружения с использованием встроенных системных инструментов. Он также создал новую учетную запись и изменил пароль существующего пользователя.
Злоумышленник использовал закодированную команду PowerShell для создания обратной TCP-оболочки, позволяющей ему выполнить команды для загрузки дополнительных инструментов. Он установил приложение для удаленного рабочего стола AnyDesk и настроил его на автоматический запуск при старте Windows.
Также были обнаружены архивные файлы с содержимым рабочей директории сервера, которые были загружены на собственный сервер IIS.
Indicators of Compromise
IPv4
- 167.88.173.253
- 54.255.198.171
- 86.48.10.109
SHA1
- 44ceb7e93498c89c7035bab4a494f95bc6267609
- 4a8eb063e811111b03c5d2c81b20f34ccaf63dd2
- 4e49beee8548cacb2fab3e2260b2255b86fd6b13
- 7b3d29d83f2ac80a24f8eae791d563aec8311c6e
- c74112afef359d2bf6b2879358b9651ef8d1c12c
- e5746699eace0b47aa47fbefcf5aee67e67cec95