Các nhà nghiên cứu an ninh mạng tại Securelist đã phát hiện ra một web shell mới, có tên “hrserv.dll”, được hacker sử dụng để quản trị và kiểm soát máy chủ trái phép. Web shell này cho phép kẻ tấn công truy cập trái phép vào máy chủ hoặc trang web, tạo điều kiện cho các hoạt động như ăn cắp dữ liệu và phát động thêm các cuộc tấn công.
Web shell hbserv.dll nổi bật với các tính năng tiên tiến của nó, bao gồm mã hóa tùy chỉnh và thực thi trong bộ nhớ. Phát hiện này cũng dẫn đến việc xác định các biến thể tương tự từ năm 2021, cho thấy mối liên kết tiềm năng với các hoạt động ác ý đang diễn ra.
Một trong những chức năng chính của web shell HrServ liên quan đến việc tạo ra nhiệm vụ lịch trình ‘MicrosoftsUpdate’ thông qua PAExec.exe. Nhiệm vụ này kích hoạt một tệp .BAT sao chép hbserv.dll vào thư mục System32, cấu hình một dịch vụ registry bằng lệnh ‘sc’, và kích hoạt dịch vụ mới được tạo. Một khi hoạt động, HrServ khởi động một máy chủ HTTP sử dụng phương pháp mã hóa tùy chỉnh như Base64 và FNV1A64. Nó phản hồi với các tham số ‘cp’ GET cụ thể trong các yêu cầu HTTP và tận dụng cookie NID cho các hoạt động.
Mô hình đặt tên của web shell được thiết kế để mô phỏng Google, có thể nhằm ngụy trang hoạt động độc hại của nó trong lưu lượng mạng và tránh bị phát hiện. Ví dụ, giá trị ‘cp’ là 6 kích hoạt thực thi mã, trong khi giá trị ‘cp’ không xác định kích hoạt một implant linh hoạt trong bộ nhớ hệ thống.
Các nhà nghiên cứu phát hiện sau khi thực hiện nhiệm vụ của mình, HrServ xóa dấu vết của mình bằng cách xóa nhiệm vụ ‘MicrosoftsUpdate’ và các tệp ban đầu. Mặc dù có sự tương đồng trong mã hóa, nhưng đã quan sát thấy những khác biệt tinh tế trong hành vi giữa các biến thể.
Thú vị là các chiến thuật, kỹ thuật và quy trình (TTP) được sử dụng bởi web shell này không thể được quy cho bất kỳ tác nhân đe dọa nào được biết đến. Tuy nhiên, một cơ quan chính phủ ở Afghanistan đã được xác định là nạn nhân. Kể từ năm 2021, WebShell đã thực hiện các hoạt động trong bộ nhớ thông qua các thay đổi registry và giao tiếp bằng những chuỗi riêng biệt từ implant trong bộ nhớ. Mặc dù thể hiện hành vi giống như mối đe dọa liên tục tiên tiến (APT), nhưng trong trường hợp này, các đặc điểm động cơ tài chính dường như chiếm ưu thế.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.