В последнее время специалисты по кибербезопасности столкнулись с новым угрожающим трендом: обнаружен высококачественный бэкдор, получивший название GhostContainer, который активно используется для компрометации серверов Microsoft Exchange в правительственных учреждениях и высокотехнологичных компаниях Азии. Анализ показывает, что атака, вероятно, была осуществлена через известную уязвимость N-day, что подчеркивает важность своевременного обновления программного обеспечения.
Описание
GhostContainer - это многофункциональный бэкдор, способный динамически расширяться за счет загрузки дополнительных модулей, что делает его крайне опасным. Злоумышленники использовали несколько открытых проектов для его создания, что затрудняет обнаружение и анализ. После внедрения бэкдор предоставляет полный контроль над сервером Exchange, позволяя выполнять широкий спектр вредоносных действий: от выполнения произвольных команд до кража конфиденциальных данных.
Особенностью GhostContainer является его способность маскироваться под стандартные компоненты сервера, что усложняет его выявление системами защиты. Кроме того, он может действовать как прокси или туннель, что создает угрозу для всей внутренней сети организации. Это открывает возможность внешнего доступа к защищенным системам и облегчает утечку данных.
Как работает GhostContainer?
Файл, содержащий вредоносный код, имеет название App_Web_Container_1.dll и включает три ключевых класса: Stub, App_Web_843e75cf5b63 и App_Web_8c9b251fb5b3. При загрузке в сервис Exchange первым активируется класс Stub, который выполняет функции парсера команд C2. Он способен запускать шелл-код, загружать файлы, выполнять команды и загружать дополнительный .NET-код.
Одна из наиболее опасных особенностей Stub - это попытка обхода механизмов защиты, таких как AMSI (Antimalware Scan Interface) и журналов событий Windows. Для этого злоумышленники модифицируют системные библиотеки, такие как amsi.dll и ntdll.dll.
Бэкдор использует AES-шифрование для защиты передаваемых данных, а ключ шифрования генерируется на основе валидационного ключа ASP.NET. Это демонстрирует высокий уровень подготовки атакующих, которые адаптируют стандартные механизмы платформы для своих целей.
Возможности команд C2
GhostContainer поддерживает широкий набор команд, включая:
- выполнение шелл-кода и командной строки;
- загрузка и удаление файлов;
- чтение содержимого файлов;
- выполнение .NET-программ с выводом результата;
- создание виртуальных страниц для обхода проверок.
Каждая выполненная команда возвращает ответ в XML-формате, что позволяет злоумышленникам получать детальную информацию о состоянии системы.
Использование открытых проектов
Интересно, что разработчики GhostContainer активно использовали открытые проекты, такие как ExchangeCmdPy.py и Neo-reGeorg. Это затрудняет атрибуцию атаки, поскольку код может быть использован разными группами. В частности, класс App_Web_843e75cf5b63 основан на проекте PageLoad_ghostfile.aspx, который позволяет создавать "призрачные" страницы для обхода проверок.
Класс App_Web_8c9b251fb5b3, отвечающий за прокси и туннелирование, почти полностью повторяет функционал Neo-reGeorg. Это показывает, что злоумышленники предпочитают модифицировать готовые решения, а не разрабатывать их с нуля.
Жертвы и возможные цели
На данный момент подтверждены атаки на два объекта: государственное учреждение и высокотехнологичную компанию в Азии. Однако учитывая сложность и универсальность бэкдора, число жертв может быть значительно больше.
Атака с использованием GhostContainer демонстрирует растущую изощренность киберпреступников, которые комбинируют различные техники для достижения своих целей.
Индикаторы компрометации
MD5
- 01d98380dfb9211251c75c87ddb3c79c
SHA1
- 2bb0a91c93034f671696da64a2cf6191a60a79c5
SHA256
- 87a3aefb5cdf714882eb02051916371fbf04af2eb7a5ddeae4b6b441b2168e36
