En el sector hotelero actual, el software de alquiler vacacional ha pasado de ser un lujo a convertirse en un elemento imprescindible para hoteles, complejos turísticos y pequeñas empresas, ya que simplifica las reservas, las interacciones con los huéspedes y la gestión de la propiedad. Aunque el software de alquiler vacacional pueda parecer centrado en las reservas, contiene datos valiosos como información sobre tarjetas de crédito, preferencias de los huéspedes y comunicaciones. Estos datos son un objetivo prioritario para los ciberdelincuentes que buscan beneficios económicos o acceso no autorizado.
Especialmente atractiva es la información de las tarjetas de crédito, que atrae la atención de los piratas informáticos con motivaciones financieras, ya que es responsable del 41% de las filtraciones en el sector de la hostelería (fuente: Verizon Data Breach Investigations Report). La combinación del importante volumen de transacciones del sector de la hostelería y la integración de las pasarelas de pago lo convierten en un objetivo lucrativo.
Otra característica clave de los ataques impulsados financieramente dirigidos a sistemas de pago y financieros es la íntima familiaridad de los atacantes con el funcionamiento interno del software. A menudo, estos actores de amenazas poseen un profundo entendimiento de cómo funcionan y se conectan los sistemas, y están motivados para asignar esfuerzo y recursos en el desarrollo de herramientas especializadas. No sorprende que los ciberdelincuentes encuentren muy interesante la idea de generar un ingreso constante y recurrente explotando sistemas de pago.
Si bien las redes de hoteles grandes y los motores de búsqueda de viajes tienen a su disposición recursos significativos que les permiten implementar medidas de seguridad sólidas (aunque recientes brechas de seguridad demuestran que esto no es infalible), los hoteles y resorts más pequeños enfrentan un desafío aún más formidable. El desarrollo de software personalizado es costoso y lleva tiempo, por lo que optan por soluciones de terceros de proveedores de confianza. Sin embargo, esta dependencia introduce un nuevo problema: la vulnerabilidad de la cadena de suministro.
Este artículo examina en profundidad una reciente brecha de seguridad que afectó a un pequeño complejo turístico de Estados Unidos. El negocio en cuestión había adoptado el motor de reservas online IRM Next Generation ("IRM-NG"), un producto de Resort Data Processing, Inc. Durante la investigación realizada por Bitdefender Labs, descubrimos una serie de vulnerabilidades en este software. Además, el ataque se apoyó en un conjunto de malware a medida, diseñado por el actor de la amenaza para integrarse a la perfección con la arquitectura del software. Esto subraya el intrincado conocimiento de los actores de la amenaza del funcionamiento interno del software y pone de relieve su capacidad para explotar sus funcionalidades para extraer información sensible.
Divulgación responsable
En primer lugar, vamos a abordar el elefante en la habitación. Hemos intentado informar de las vulnerabilidades a Resort Data Processing desde mayo de 2023, justo después de que se descubriera la primera vulnerabilidad en el software IRM-NG, pero no tuvimos éxito. Nuestro primer intento fue por correo electrónico, pero lamentablemente, nuestros esfuerzos quedaron sin respuesta. Durante los meses siguientes, intentamos comunicarnos con el proveedor de software a través de varios canales, que incluían el programa oficial de recompensas por fallos, Twitter o contactos en LinkedIn relacionados con la empresa.
A pesar de nuestros repetidos y variados intentos de establecer contacto, no recibimos respuesta. Dado que el actor de la amenaza responsable del ataque demostró un profundo conocimiento del software en uso y el descubrimiento de otras víctimas comprometidas, hemos tomado la iniciativa de asignar CVE a las vulnerabilidades identificadas. Es importante aclarar que no hemos intentado realizar una evaluación exhaustiva de la seguridad del motor IRM-NG, sino que nos hemos limitado a documentar las vulnerabilidades encontradas durante nuestro análisis. Este enfoque deja espacio para la posibilidad de que existan vulnerabilidades adicionales dentro del software.
A continuación figura una lista de los CVE asignados a las vulnerabilidades identificadas:
- • CVE-2023-39420 - Uso de credenciales codificadas en dll (CWE-798)
- • CVE-2023-39421 - Uso de credenciales codificadas en dll (CWE-798)
- • CVE-2023-39422 - Uso de credenciales codificadas en los extremos /irmdata/api/ (CWE-798)
- • CVE-2023-39423 - Neutralización incorrecta de elementos especiales utilizados en un comando SQL en dll (CWE-89)
- • CVE-2023-39424 - Neutralización incorrecta de elementos especiales en la salida utilizada por un componente descendente ("inyección") en dll (CWE-74)
Anatomía de un ataque
Según nuestro análisis, este ataque comenzó durante el verano de 2022. Una de las cabeceras PE de las herramientas apoya aún más esta cronología, indicando una hora de compilación de 2022-07-11 12:49:31. Como táctica de evasión defensiva, la amenaza empleó el timestomping para mezclarse con otros archivos legítimos dentro de la misma carpeta. El timestomping es una técnica que consiste en alterar las marcas de tiempo de los archivos de un sistema informático para manipular sus horas de creación, modificación o acceso. Esto se hace para engañar a los investigadores, ocultar actividades maliciosas y crear confusión con respecto a la cronología de los acontecimientos. Como ejemplo de esta técnica, el archivo malicioso wow64log.dll coincide con las marcas de tiempo del archivo legítimo wow64win.dll (ambos en la carpeta C:\Windows\System32).
Aunque no podemos determinar con exactitud el grupo específico que está detrás del ataque, podemos confirmar que el objetivo principal del ataque gira en torno al beneficio económico y la adquisición ilícita de información personal. El motor IRM-NG estuvo implicado en una brecha de seguridad en 2021; debido a la limitada disponibilidad de información pública sobre este incidente, no podemos determinar ninguna relación directa con los ataques que hemos analizado. Durante nuestra investigación, identificamos infecciones webshell similares entre otras víctimas que también utilizaban el mismo motor de reservas. Sin embargo, la confirmación o negación del uso del componente XModule en estos ataques sigue sin ser concluyente.
Compromiso inicial
Aunque no pudimos confirmar el vector de ataque inicial preciso, tenemos la firme convicción de que estaba relacionado con una vulnerabilidad no revelada dentro del motor de reservas. En primer lugar, el autor de la amenaza cargó un archivo index.css (que contenía código webshell), aprovechando que la API de carga de archivos permite la extensión .css. Como siguiente paso, el actor de la amenaza utilizó una vulnerabilidad no revelada para cambiar la extensión de este archivo a .aspx. Este cambio de extensión permitió que el archivo se ejecutara dentro del marco ASP.NET, habilitando su funcionalidad como webshell.
cmd.exe /c rename c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\index.css index.aspx
cmd.exe /c rename c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\index.css index2.aspx
Esta ubicación subraya aún más la explotación de una vulnerabilidad dentro del motor de reservas, ya que esta es la ruta de carga predeterminada para los usuarios de gestión que inician sesión en un servidor designado.
Una herramienta adicional desplegada por el actor de la amenaza en el servidor comprometido fue ConsoleApplication5.exe. Esta herramienta personalizada fue diseñada específicamente para ejecutar consultas PSQL en la base de datos, utilizando Pervasive PSQL, que es el sistema de base de datos relacional utilizado por el motor de reservas. Cabe destacar que esta base de datos no está protegida por contraseña.
Esta herramienta se utilizó inicialmente para eliminar los rastros del inicio de sesión inicial. Resulta significativo que esta herramienta especializada se pusiera en marcha apenas 18 minutos después de la brecha inicial. Esto sugiere claramente que el autor de la amenaza tenía conocimiento previo del sistema.
c:\\windows\\system32\\cmd.exe /c cd "C:\\Users\\<USERNAME>\\XRM\\Files\\" && dir && ConsoleApplication5.exe <SERVER> <DATABASE> "DELETE FROM Logins WHERE Browser='Firefox94'"
La misma herramienta se utilizó para desplegar el malware en una ruta segura C:\Windows\System32. Para empezar, el actor de la amenaza se aprovechó de una vulnerabilidad desconocida o de la interfaz de gestión de contenidos para subir el código malicioso a una tabla independiente llamada UnitAdContent, almacenándolo dentro de una fila marcada con un valor PropertyName de '333333333333333333333333333333'. Con el código ahora almacenado en este registro, el siguiente paso para los actores de la amenaza fue guardar este archivo en una ruta protegida.
Para este propósito, el actor de la amenaza utilizó una vulnerabilidad dentro de un servicio "RDPng File Upload" que opera en el nivel SYSTEM. Este servicio emplea una tabla llamada FileUploads para almacenar instrucciones para la carga de archivos. El actor de la amenaza insertó un nuevo registro en esta tabla, especificando su intención de crear un archivo llamado wow64log.dll. El contenido de este archivo debía derivarse del valor almacenado en la tabla UnitAdContent. Al añadir esta instrucción a la base de datos, el servicio de carga de archivos ejecutó la directiva, generando con éxito el archivo solicitado. Este archivo era un instalador para una versión personalizada de Micro Backdoor.
c:\\windows\\system32\\cmd.exe /c cd "C:\\Users\\<USERNAME>\\XRM\\Files\\" && dir && ConsoleApplication5.exe <SERVER> <DATABASE> "INSERT INTO FileUploads (FileName,File,Action,Location,DateEntered) VALUES ('wow64log.dll','41',0,'c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\..\\..\\..\\..\\..\\..\\..\\..\\windows\\system32\\',now());UPDATE FileUploads SET File=(SELECT CAST(Description as char(5120)) FROM UnitAdContent WHERE PropertyName='333333333333333333333333333333') Where FileName='wow64log.dll'"
Para entrar en la base de datos o autenticarse con las API, descubrimos una colección de credenciales codificadas en diferentes bibliotecas. Algunas de estas credenciales dependían de contraseñas que se restablecen a diario, aunque estas contraseñas se pueden generar fácilmente analizando una de las bibliotecas DLL. Aunque hemos optado por no revelar detalles sensibles en nuestra investigación, es importante destacar que el actor de la amenaza ya era consciente de ello.
El actor de la amenaza empleó herramientas adicionales para escalar privilegios. Una de ellas era el ampliamente reconocido PrintSpoofer (aunque repleto de Themida para dificultar el análisis y la detección), y otra era una herramienta de prueba de concepto para CVE-2020-0787 para copiar archivos a una ubicación de protección. Esta POC era una variante personalizada de la disponible en este repositorio. Otra herramienta que el actor de la amenaza utilizó para evadir la defensa fue una herramienta de proceso fantasma llamada KingHamlet.
Establecer la persistencia
Para la persistencia, los atacantes utilizaron una tarea programada llamada ChkUpd que se ejecuta como SYSTEM. Esta tarea ejecuta la siguiente línea de comandos: C:\Windows\system32\rundll32.exe batchd.dll,ResChkUpd. El pequeño archivo DLL batchd.dll ejecuta un archivo por lotes (C:\irmsetup\install.bat) que despliega componentes maliciosos:
copy "C:\Users\All Users\XRM\Data\api.dll" C:\windows\system32\logapi64.dll
copy "C:\Users\All Users\XRM\Data\wow.dll" C:\windows\system32\wow64log.dll
copy "C:\Users\All Users\XRM\Data\x.config" C:\inetpub\wwwroot\web.config
copy "C:\Users\All Users\XRM\Data\i.dat" C:\inetpub\wwwroot\rdprepository\irm\content\<SERVER>\<RESORT>\index.aspx
Mientras que el archivo index.aspx es sólo un webshell normal, los otros tres archivos constituyen el corazón de esta operación.
En primer lugar, el archivo web.config proporciona integración con el IIS. Este archivo desempeña un papel crucial en la configuración de los ajustes y comportamientos de un servidor IIS, como la autenticación, la seguridad, la reescritura de URL y el almacenamiento en caché, y afecta a la forma en que los módulos IIS interactúan con la aplicación alojada. El uso de este archivo web.config permitió al actor de la amenaza inyectar un módulo IIS malicioso llamado XModule.
Aunque se proporcionará una descripción detallada de este módulo en la sección posterior "Ejecución", queríamos describir su conexión con el establecimiento de la persistencia. El XModule es cargado automáticamente por IIS, iniciando la carga de la librería wow64log.dll. Este instalador, a su vez, crea un servicio responsable de cargar la biblioteca de Micro Backdoor logapi64.dll. Este servicio puede ser configurado para utilizar la comunicación de red (C:\\windows\system32\svchost.exe -k netsvcr) o tuberías con nombre (C:\windows\system32\svchost.exe -k netsvcp) como un canal de comunicación entre XModule y Micro Backdoor.
En este momento, todos los componentes esenciales están presentes y operativos. XModule es cargado por IIS y puede interceptar peticiones dirigidas al motor de reservas, mientras que Micro Backdoor está en funcionamiento, preparado para manejar las instrucciones de XModule.
Ejecución
El módulo XModule de IIS se integra en el flujo del motor de reservas, supervisando activamente todo el tráfico entrante y saliente para interceptar información valiosa o recibir comandos del actor de la amenaza. Esto se consigue implementando un manejador para el evento OnSendResponse con prioridad media.
Cuando un módulo IIS implementa un manejador para el evento OnSendResponse, significa que el módulo está diseñado para interceptar la respuesta generada por el servidor web antes de que sea enviada de vuelta al navegador del cliente. Esto permite al módulo inyectar contenido adicional, modificar cabeceras o realizar otras acciones en los datos de respuesta.
El segundo componente es Micro Backdoor. Micro Backdoor es una puerta trasera minimalista para sistemas operativos Windows, diseñada para ser fácilmente personalizable. Así es exactamente como el actor de la amenaza utilizó este malware de pequeño tamaño. La versión personalizada no se comunica directamente con el servidor de comando y control (C2), sino que utiliza una tubería con nombre (\\\\.\\pipe\xrpcxdsvc) para comunicarse con XModule. Las tuberías con nombre son un tipo de mecanismo de comunicación entre procesos (IPC) utilizado para la comunicación entre procesos o aplicaciones en un sistema informático. XModule actúa efectivamente como un proxy entre el servidor C2 telecomptd[.]org y Micro Backdoor, lo que hace que sea mucho más difícil de detectar, ya que no hay tráfico de red.
Cuando el actor de la amenaza desea recopilar datos extraídos o enviar comandos al backdoor, realiza una solicitud POST con contenido específico a cualquier página legítima del servidor web comprometido. El XModule intercepta esta solicitud, descifra y procesa las instrucciones incrustadas e informa de los resultados en el cuerpo de la respuesta. Se trata de un método de comunicación casi indetectable.
Para la extracción de datos, XModule almacena los datos interceptados en la ubicación C:\ProgramData\Actian\Cache\Logs, con un prefijo de archivo que identifica el tipo de datos exfiltrados.
Si la petición es GET y la URL contiene la cadena /irmng/polyfills-es2015 (se trata de un archivo .js utilizado por el motor de reservas IRM-NG), XModule inyectará un JavaScript malicioso que establecerá una cookie llamada __gglmap. Esta cookie almacena la siguiente información: nombre, apellidos, dirección1, dirección2, ciudad, estado, país, código postal, correo electrónico, titular de la tarjeta, número de tarjeta, CVV, mes y año de caducidad, código postal de facturación y otros datos identificados por elementos con los siguientes ID (que no hemos podido identificar): "tc91", "tc90", "tc92", "tc93", "tc94", "tc95". Si esta cookie __gglmap aparece más tarde en las cabeceras, el XModule guardará su valor (encriptado mediante un simple XOR) en un fichero llamado error_<año><mes><día>_<crc32_de_valor_cookie>.dmp.
Si la solicitud es POST, la acción depende del cuerpo de la solicitud.
Si el cuerpo de la solicitud contiene contraseñas (una de las cadenas "password", "pass", "pwd" está presente), el cuerpo se escribe (encriptado) en un archivo llamado info_<año><mes><día>_<crc32_de_cuerpo>.dmp.
Si el cuerpo de la solicitud contiene información de la tarjeta de crédito (una de las cadenas "cvv", "cvc", "cardnumber", "cardholder", "ccnum", "cc_num", "i4g0", "tenerum" está presente), el cuerpo se escribe (encriptado) en un archivo llamado dump_<year><month><day>_<crc32_of_body>.dmp.
Por último, si el cuerpo de la solicitud contiene los parámetros Module=BookData&Booking_ID= y &Booking_Info=, XModule interpretará el valor de Booking_Info como un comando. El comando se codifica en base64 y se cifra con un simple XOR. El XModule (o Micro Backdoor) ejecuta el comando y devuelve el resultado en el cuerpo de la respuesta (cifrado).
Este comando puede ser uno de los siguientes:
- • PIN - responde con "PONG"
- • INF - responde con <username>|<computer_name>|<user_is_admin>|<integrity_level></integrity_level>
- • CMD - un comando que se ejecuta utilizando exe /c (o %COMSPEC%)
- • CMP - un comando para el Micro Backdoor (usando una tubería con nombre)
- • DMP - inicia la filtración de datos, añade el contenido de todos los archivos de la carpeta C:\ProgramData\Actian\Cache\Logs al cuerpo de la respuesta.
Conclusión y recomendaciones
La investigación ha revelado una serie de brechas de seguridad dentro de un software de motor de reservas que han sido orquestadas por un sofisticado actor de amenazas. Este incidente parece formar parte de un esfuerzo coordinado de mayor envergadura, ya que el atacante demostró un profundo conocimiento de la arquitectura y el funcionamiento interno del software. El autor de la amenaza fue más allá de los métodos de ataque convencionales al desarrollar malware personalizado diseñado para integrarse perfectamente en el tráfico legítimo de la red, facilitando la filtración encubierta de datos confidenciales. Los actores de amenazas, como todo el mundo, buscan maximizar sus ganancias minimizando el esfuerzo. Están dispuestos a invertir tiempo y recursos en la elaboración de ataques personalizados si ello les reporta unos ingresos constantes.
Las empresas más grandes tienen la capacidad y la responsabilidad de llevar a cabo auditorías de seguridad y pruebas de penetración rutinarias, un lujo que puede no ser factible para las empresas más pequeñas, un sector demográfico al que a menudo prestan servicio soluciones de terceros. Para estas empresas más pequeñas, es fundamental centrarse en la madurez de la seguridad de su cadena de suministro. Es esencial reconocer que optar por soluciones aparentemente más asequibles a veces puede acarrear gastos imprevistos y sustanciales debidos a brechas de seguridad o vulnerabilidades.
La mejor protección que las empresas pueden desplegar contra los ataques modernos sigue siendo la arquitectura de defensa en profundidad. Este enfoque implica el empleo de múltiples capas de medidas de seguridad superpuestas que están diseñadas para proteger contra una variedad de amenazas.
El primer paso para adoptar una estrategia multicapa es dominar las capacidades de prevención. Intente limitar la superficie de ataque expuesta y minimizar el número de puntos de entrada que pueden utilizar los actores de amenazas. Identifique y corrija los puntos débiles aplicando parches y soluciones de gestión de riesgos antes de que los actores de amenazas puedan explotarlos.
Los controles de protección automatizados se despliegan en todos los posibles puntos de entrada expuestos a los agentes de amenazas (incluidos los ordenadores portátiles de los empleados itinerantes). Esto incluye antivirus de última generación, pero también reputación de IP/URL/dominio perfectamente integrada y protección contra amenazas desconocidas hasta ahora. Esto le da la capacidad de detectar y bloquear la mayoría de los incidentes de seguridad antes de que puedan causar ningún daño.
A pesar de sus mejores esfuerzos, todavía es posible que los actores de amenazas modernas logren burlar sus controles de prevención y protección. Aquí es donde entran en juego sus capacidades de detección y respuesta. Tanto si obtiene estas capacidades como producto (EDR/XDR) o como servicio (MDR), el propósito es minimizar el tiempo en que los actores de amenazas permanecen sin ser detectados. El equipo MDR de Bitdefender lleva a cabo una búsqueda proactiva a través de un entorno para cazar actividades maliciosas, sospechosas o de riesgo que han evadido la detección de las herramientas existentes.
En conclusión, la investigación subraya la necesidad de una estrategia de seguridad adaptable y de varios niveles. Combinando las mejoras tecnológicas con una vigilancia atenta y medidas proactivas, las organizaciones pueden defenderse mejor de las amenazas sofisticadas dirigidas contra sistemas de software críticos.
Queremos dar las gracias a Adrian Schipor, Victor Vrabie, Cristina Vatamanu, Alexandru Maximciuc y Bogdan "Bob" Botezatu por su ayuda en la elaboración de este informe consultivo.
El documento de investigación completo, publicado por Bitdefender Labs, contiene detalles adicionales e información técnica.
Indicadores de compromiso
Los usuarios de Bitdefender Advanced Threat Intelligence tienen a su disposición una lista actualizada y completa de indicadores de compromiso. Los indicadores de compromiso conocidos actualmente se pueden encontrar en la siguiente tabla.
Módulo X
| Ruta del archivo | MD5 |
|---|---|
| %PROFILES%\\<PROFILE>\\desktop\\urlmodz.dll | cb911c01d89b3a35bb3a7f525021b609 |
| c:\\temp\\test_regmodule.dll | 504a54e53727d418003d7b71647f6230 |
| c:\\temp\\test_regmodule.dll | 87397cdbf0e62dd422dfcd0c54b39710 |
| c:\\temp\\test_regmodule.dll | 07c7dffc9237373eeca170cc332e5ee0 |
| c:\\temp\\test_regmodule.dll | 5955f14160bb8aacc63f620065317c2c |
| c:\\temp\\test_regmodule.dll | 3411c97b2017c5a60bacbae722afa9e3 |
| c:\\temp\\test_regmodule.dll | 58e200a60c8329058bb7e63118e6ce3f |
| c:\\temp\\test_regmodule.dll | 225fee186de514e1a24536a95bfa118d |
| c:\\temp\\test_regmodule.dll | 1d6554842dc48fd87b83113318e9256d |
| c:\\temp\\test_regmodule.dll | f74271e58d20f42be4bf2a685c78217d |
| c:\\temp\\test_regmodule.dll | a1d80427445b6db77daa39dfb89d3c2f |
| c:\\temp\\test_regmodule.dll | d98ef3e72ed8cac642a51498ff67c3b0 |
| c:\\temp\\test_regmodule.dll | ce7fde78cb3d3fa08e053d8a6ccdb931 |
| c:\\temp\\test_regmodule.upx.dll | 284e2bef6bec53942442a80daa3ab56d |
| c:\\temp\\test_regmodule.dll | 91f0ba3999e7d368b294f8dd2b326865 |
| c:\\temp\\test_regmodule.dll | 3ee42bc3f765c8ac7e0708641fab4e9e |
| c:\\temp\\test_regmodule.dll | 063588bfda9642c835b5a2bcfedaf1da |
| c:\\temp\\xmodule.dll | ac7cdd4d1d08f74a7f9c56b760aa991b |
| c:\\temp\\xmodule.dll | b487e7bfd88aa57ccbf47568055f47da |
| c:\\temp\\xmodule.dll | a92e0651bc8fef306ecbe992351d311f |
| c:\\temp\\xmodule.dll | adecf847a06fb12589e92c522f59473f |
| c:\\temp\\xmodule.dll | 800294f84f61830b79577d241ef6c7df |
| c:\\temp\\xmodule.dll | 8f39d5df4c38c2b90e5b9b091458eed7 |
| c:\\temp\\xmodule.dll | 61cac5c66aaba9f896da026bb2a7c899 |
| c:\\temp\\xmodule.dll | c453f876e25c8a04d9cde58f9290c88f |
| c:\\temp\\xmodule.dll | b1703ed5441ac3fb5004a37722e14b22 |
| c:\\temp\\xmodule.dll | 89c283604857ea44ef8d0bc109d53a73 |
| c:\\temp\\xm32.dll | 3b15d7a3e9eea9c403ddc4e74fd329aa |
| c:\\temp\\xmodule.dll | 450d4c982490350082ca3dc89a0e8ee2 |
| c:\\temp\\xmodule.dll | 05b0418263ac7ab3431f2329d0d3e2b0 |
| c:\\temp\\xmodule.dll | bdbeb4dd064cc30a3c02cfb1ea0e5dc8 |
| c:\\temp\\zxmod33.dll | 366f6e5b7db3c0ef0eaa8776ae7ade24 |
| c:\\temp\\xmodule.dll | 953ccf89d1452a7142a1d3970219ed8a |
| c:\\temp\\xmodule.dll | c0ba71922ba520ad479f4b77d6e70688 |
| c:\\temp\\xmodule32.dll | 871de9bf5a4fdfa5e448f47a14259335 |
| c:\\temp\\xmodule.dll | adcc2d68a2d7c5e830be550890efd42b |
| c:\\windows\\system32\\inetsrv\\issrpch64.dll | d5373e33861c09697af6c62987983321 |
| c:\\windows\\system32\\inetsrv\\issrpch.dll | 24d7baab665b51719aca24718e3d0115 |
| c:\\windows\\syswow64\\inetsrv\\urlmodz.dll | cb911c01d89b3a35bb3a7f525021b609 |
Micro Backdoor
| Ruta del archivo | MD5 |
|---|---|
| c:\\windows\\syswow64\\logapi64.dll | e919e2ca19daa40904000a3222963b21 |
| c:\\windows\\system32\\logapi64.dll | e919e2ca19daa40904000a3222963b21 |
Instalador de Micro Backdoor
| Ruta del archivo | MD5 |
|---|---|
| C:\\Windows\\System32\\wow64logf.dll | 6d85ea5b1d88aadd43fec8a53662c0ad |
| C:\\Windows\\System32\\wow64log.dll | 6d85ea5b1d88aadd43fec8a53662c0ad |
Persistencia
| Ruta del archivo | MD5 |
|---|---|
| c:\\windows\\system32\\batchd.dll | 12f2a5faa01efcee7a0829133173da2b |
| c:\\irmsetup\\install.bat | fc45969de0677b995bfbc829906871f5 |
Escalada de privilegios y evasión de defensas
| Ruta del archivo | MD5 |
|---|---|
| c:\\temp\\tmp\\uninstall_2.exe | bfea2b4a02a8044cb5f7fccc36172460 |
| c:\\temp\\tmp\\procghost.exe | 4912f690fc30bb2217d1b1f3029003fe |
| c:\\temp\\tmp\\bitsarbitraryfilemoveexploit.exe | 582862be0c3bdda4f65376169c57af98 |
Webshells
| Ruta del archivo | MD5 |
|---|---|
| c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\eval_full_fud.aspx | 7efc7f94cbbc3e1d38873039996efe64 |
| c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\eval_full_fud.aspx | 714f7493b7eb384f3ef7a49b73f8c66f |
| c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\index.aspx | 9cf1bbd0d83d5701aebdba6e05f7bb93 |
| c:\\inetpub\\wwwroot\\irmcms\\custom\\31pip2pi.m3i | 9cf1bbd0d83d5701aebdba6e05f7bb93 |
| c:\\inetpub\\wwwroot\\irmcms\\custom\\pcnlgjs1.rcc | 9cf1bbd0d83d5701aebdba6e05f7bb93 |
| c:\\inetpub\\wwwroot\\rdprepository\\irm\\content\\<SERVER>\\<RESORT>\\index.aspx | 45ff3ba7c1ebc1db28d4438691b13bea |
| c:\\programdata\\xrm\\data\\i.dat | 45ff3ba7c1ebc1db28d4438691b13bea |
Herramienta PSQL personalizada
| Ruta del archivo | MD5 |
|---|---|
| C:\\ProgramData\\xrm\\files\\consoleapplication5.exe | 5db5a373b1395d9f6aeb87f99e8a801c |
Dominios
telecomptd[.]org
Autor: