2022年7月1日 / 最終更新日 : 2022年7月1日 Kazuo_Komoriya ほぼこもセキュリティニュース

SessionManager

ほぼこもセキュリティニュース By Terilogy Worx

SessionManagerはバックドアです。
とても一般的で普通の名前ですが、マルウェアです。
実装形式としてはIISのモジュールです。
IISはMicrosoftのWindowsサーバ上で利用できるWebサーバの実装です。
IISは拡張性の高い設計になっていていろいろなモジュールを組み合わせて機能を拡張できる仕組みになっています。
この仕組みを悪用して実装されたマルウェアの一つがこのSessionManagerです。

Microsoftはいろいろなサーバ機能製品をリリースしています。
それらがWebインターフェースを持つ場合、多くの場合はIISが組み合わせて利用される仕組みになっています。
そういった製品の一つにExchangeサーバがあります。
ExchangeもWebインターフェースを使用するサーバ機能製品の一つです。

SessionManagerバックドアを設置完了したExchange環境ではこんなことが可能です。

  • メールの利用
    Exchangeで処理されるメールへのアクセスが可能です。

  • マルウェアの追加
    他の種類のマルウェアをインストールすることができます。
    いわゆるドロッパーです。
    PowerSploit-based Mimikatz reflective loader、Mimikatz SSP、ProcDump、Avast
    memory dump toolなどを展開します。

  • コマンドの実行
    バックドアが設置された機器でリモートでコマンド実行することができます。
    ドロッパーで持ち込んだツールを使って、システムメモリから資格情報を収集し、被害者のネットワークと感染したデバイスから情報を収集することができます。

  • トラフィック操作
    入手できた認証情報を利用し、被害者のローカルネットワーク内のエンドポイントに接続し、ネットワークトラフィックを操作することができます。

SessionManagerはその存在が長い期間検出されることなく活動してきたと考えられています。
標的となる組織のITインフラストラクチャへの永続的で更新に耐性があり、ステルスアクセスを維持したバックドアとして利用することができます。
これはIISのモジュールとして実装したという設計による効果が大きいかもしれません。

このモジュールという形式の場合、読み込み機構を持った製品の側の更新だけでは対応できない場合が多いと考えられます。
IISにパッチを適用するとIISの改善はできるけれども、IISの一部として配布されたものではないIISのモジュールはそのまま維持されてしまう、といった具合です。
モジュール読み込み機能のある製品を使う際に、どのようなモジュールが読み込まれた状態で動作しているのかということも定期的に監査する必要があるということかもしれません。
システムの維持管理のコストは大きくなっていきます。

参考記事(外部リンク):Kaspersky discovers poorly detected backdoor, targeting
governments and NGOs around the globe
www.kaspersky.com/about/press-releases/2022_kaspersky-discovers-poorly-detected-backdoor-targeting-governments-and-ngos-around-the-globe

カテゴリー
ほぼこもセキュリティニュース
News
TWXlogo

前の記事

「momentum」製品新規販売終了について
2022年6月30日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

あなたのアカウントを停止します
2022年7月4日