Dentro del World-wide-web Shell utilizado en Microsoft Exchange …



La historia y los detalles de China Chopper: un shell internet que se ve comúnmente en los ataques generalizados de Microsoft Trade Server.

Los shells de China Chopper Website son una amenaza más antigua que causa nuevos problemas para muchas organizaciones objetivo de ataques continuos contra servidores Microsoft Trade vulnerables en todo el mundo.

Desde que Microsoft parcheó una serie de días cero de Trade Server el 2 de marzo, lo que anteriormente habían sido ataques «limitados y dirigidos» rápidamente se convirtió en un problema world wide a medida que los atacantes armaban las fallas críticas. Empresas de seguridad que rastrean la actividad, incluidas FireEye y Canario rojo, notó que los proyectiles de China Chopper World wide web desempeñaban un papel constante en sus patrones de ataque observados.

Menos de dos semanas después de que se revelaron las fallas, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS actualizó su guía sobre las vulnerabilidades para incluir siete shells de China Chopper World wide web conectados a ataques exitosos contra servidores Exchange vulnerables.

China Chopper no es una nueva pieza de malware. Los investigadores de FireEye publicaron por primera vez una investigación sobre la amenaza en 2013 Los expertos de Cisco Talos datan de las muestras de 2010. Es una puerta trasera bastante easy que permite a los delincuentes acceder de forma remota a una purple de destino y obtener el manage remoto.

Un shell website normalmente tiene partes del lado del cliente y del lado del servidor. China Chopper tiene un binario de comando y handle (C2) y una carga útil de shell internet basada en texto que actúa como el componente del servidor. Como señalan los investigadores de FireEye en un informe inicial sobre la amenaza, esta carga útil basada en texto es tan uncomplicated que un atacante podría escribirla a mano en un servidor de destino sin la necesidad de una transferencia de archivos.

«(Fue) notable en ese momento porque era mucho más pequeño que algunos de los otros shells internet que se usaban comúnmente y todavía tenía un conjunto completo de características», dice Ben Read through, director de análisis de ciberespionaje en Mandiant. «Debido a que period más pequeño y estaba escrito de manera más sucinta, en ese momento fue recogido por menos antivirus».

Hay varias formas en que China Chopper puede ingresar a una pink de destino. Algunos atacantes emplean los días cero, como se vio en los ataques de Trade Server, pero con mayor frecuencia se dirigen a versiones antiguas de program que se ejecutan en servidores web. Esto a menudo incluye application de administración de sitios web, servidores VPN o correo electrónico, señala.

A partir de ahí, es una herramienta de pos-explotación pequeña pero poderosa. Una vez en un objetivo, China Chopper se puede utilizar para ejecutar de forma remota comandos del sistema operativo y realizar actividades como cargar y ejecutar herramientas adicionales, pivotar a otros sistemas y extraer datos. Puede verificar dónde está el servidor, a qué está conectado y dónde pivotar dentro de la crimson.

«Es menos una funcionalidad específica que tiene, que permite el acceso completo a la máquina y luego el atacante puede hacer lo que quiera», explica Read. Los shells world-wide-web funcionan mejor cuando están en un servidor conectado a World-wide-web porque el atacante puede llamarlos directamente. Por el contrario, una puerta trasera suele iniciar una llamada desde el punto de la purple corporativa donde reside.

Los servidores internet y los servidores Exchange son objetivos atractivos porque, como señala, es menos probable que ejecuten antivirus o herramientas de detección y respuesta de puntos finales (EDR). «Debería, es una práctica recomendada, pero no es raro que no la haya», añade Browse. Hay menos carrera armamentista para evitar las herramientas antivirus en los shells web porque las herramientas no se implementan con tanta frecuencia.

China Chopper atrae a los atacantes porque es fácil de usar pero difícil de detectar, explica Aviad Hasnis, CTO de Cynet. Su naturaleza liviana ayuda a los atacantes a pasar desapercibidos y evitar ser detectados.

«La parte de atrás, la parte de comando y manage, es muy sencilla», dice. «Tiene una interfaz gráfica (y) es suitable con diferentes tipos de lenguajes de programación, ya sea que el Internet shell esté en PHP, ASP o Jscript». La GUI permite al atacante realizar actividades con una interfaz de apuntar y hacer clic, así como una pantalla de línea de comandos.

Un favorito de los atacantes globales

El sigilo y la simplicidad de China Chopper la han convertido en una herramienta de ataque utilizada en todo el mundo.

En sus primeros días, la cáscara internet fue muy utilizada por grupos chinos que se cree que operan en apoyo del gobierno de China. A estas alturas ya no es exclusivo de los grupos de estados-nación chinos, sin embargo, si bien continúan usando China Chopper, ahora se comercializa entre atacantes globales, tanto los actores avanzados como los menos capacitados lo usan.

«Lo hemos visto en actividades recientes que utilizan infraestructura ubicada en suelo estadounidense, pero todavía hay objetivos generalizados desde el Medio Oriente, hasta el Lejano Oriente, Europa Occidental y Oriental, y por supuesto en los Estados Unidos, operación world-wide «, dice Shiran Grinberg, gerente de CyOps en Cynet. No hay ningún país o continente específico al que se dirija el shell net de China Chopper.

Cynet ha observado varios grupos avanzados que utilizan China Chopper, incluidos Calypso, APT27, APT41, SoftCell, Leviathan, BronzeButler y Tonto Crew, entre otros. Grinberg señala que ha habido un uso adicional de China Chopper que no se ha conectado a un grupo específico. Los datos de Cynet indican que gran parte de su actividad se centra en los sectores financiero y energético, pero no se limita a esas industrias.

Su naturaleza generalizada hace de China Chopper una opción ideal para los ataques generalizados de Microsoft Exchange Server. Un atacante que tenga como objetivo miles de máquinas será inevitablemente atrapado como resultado, no quieren utilizar una capacidad que la gente no conoce o que quieren mantener en secreto. Existe una mayor probabilidad de que se detecte un shell internet común como China Chopper que uno nuevo sin embargo, el grupo de ataque no está desperdiciando una capacidad novedosa oculta.

Durante todos los años que ha estado en uso, el shell world-wide-web de China Chopper se ha mantenido prácticamente sin cambios, dice Vanja Svajcer, investigadora de amenazas de Cisco Talos, quien dice que no es inusual que un shell website esté en uso durante este período de tiempo.

«Ha habido modificaciones en su cliente para facilitar su uso a los atacantes, pero muy poco ha cambiado en el lado del servidor», dice. «El servidor simplemente recibe el código ejecutable del componente del cliente y este código ejecutable es interpretado por el entorno de ejecución, PHP o .Web ASP».

La mayoría de los cambios que se han realizado en China Chopper están destinados a ocultarlo mejor, señala Examine. Si bien su funcionalidad sigue siendo la misma, los atacantes pueden ponerle envoltorios o codificarlo para evadir la detección por parte de las herramientas de seguridad.

Kelly Sheridan es la editora de private de Dim Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial