RGDoor

RGDoor est une porte dérobée développée en C ++ et utilisée par l'acteur de menace derrière le shell Web TwoFace. Selon les chercheurs qui ont analysé la menace, le rôle de RGDoor est d'être davantage un plan d'urgence au cas où les principales menaces We shell des pirates informatiques seraient purgées du réseau compromis. Malgré les capacités opérationnelles limitées de RGDoor, il fournit toujours de nombreuses fonctionnalités pouvant être utilisées à diverses fins nuisibles. RGDoor a été déployé dans une campagne contre les serveurs de huit organisations gouvernementales du Moyen-Orient. Un établissement financier et un établissement d'enseignement ont également vu leurs serveurs compromis par la menace.

À la base, RGDoor est une porte dérobée des services d'information Internet. Le fait d'être développé en C ++ signifie qu'il est compilé en tant que fichier de bibliothèque de liens dynamiques (DLL). Les pirates ont ensuite exploité la fonctionnalité ajoutée dans IIS 7 pour charger des modules C ++ externes. La fonction a été conçue pour permettre une extension des capacités par défaut de l'ISS en exécutant des actions personnalisées. Contrairement à TwoFace, RGDoor n'a pas de représentation visuelle du shell car il s'agit d'un module HTTP ISS. Une méthode de livraison potentielle pour RGDoor consiste à être supprimée par le shell Web TwoFace en exécutant la ligne de commande appropriée:

'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE install module / name: [module name] / image: [path to RGDoor DLL] / add: true'

Une fois déployé sur le serveur ciblé, RGDoor entre dans un mode dormant où il écoute activement les commandes. La menace analyse chaque requête HTTP POST entrante reçue par le serveur ISS et recherche dans le champ HTTP «Cookie» les instructions potentielles des attaquants. Pour accéder au champ Cookie, l'appel de fonction suivant est effectué:

'pHttpContext-> GetRequest () -> GetHeader («Cookie», NULL) »

Après une série de décodage et de décryptage, RGDoor scanne le texte clair dérivé pour l'une des trois commandes - «cmd $», «upload $» et «download $». Bien qu'il s'agisse d'un ensemble de commandes plutôt restreint, elles offrent aux attaquants des opportunités suffisantes pour télécharger ou télécharger des fichiers sur leur serveur, ainsi que pour exécuter des commandes arbitraires via l'invite de commande.

La présence de RGDoor indique que l'acteur a des plans d'attaques persistantes contre les cibles désignées avec la mise en place d'une deuxième porte dérobée.

Tendance

Le plus regardé

Chargement...