RGDoor
RGDoor es una puerta trasera desarrollada en C ++ y empleada por el actor de amenazas detrás del shell web TwoFace. Según los investigadores que analizaron la amenaza, el papel de RGDoor es ser más un plan de contingencia en caso de que las principales amenazas de We shell de los piratas informáticos se eliminen de la red comprometida. A pesar de las capacidades operativas limitadas de RGDoor, todavía proporciona una gran cantidad de funciones que se pueden utilizar para diversos fines dañinos. RGDoor se desplegó en una campaña contra los servidores de ocho organizaciones gubernamentales de Oriente Medio. Una institución financiera y otra educativa también vieron comprometidos sus servidores por la amenaza.
En esencia, RGDoor es una puerta trasera de servicios de información de Internet. Desarrollado en C ++ significa que está compilado como un archivo de biblioteca de vínculos dinámicos (DLL). Luego, los piratas informáticos aprovecharon la funcionalidad agregada en IIS 7 para cargar módulos externos de C ++. La función fue diseñada para permitir una expansión de las capacidades de ISS predeterminadas mediante la realización de acciones personalizadas. A diferencia de TwoFace, RGDoor no tiene una representación visual del shell debido a que es un módulo HTTP de ISS. Un método de entrega potencial para RGDoor es ser eliminado por el shell web TwoFace mediante la ejecución de la línea de comando apropiada:
'%systemroot% \ system32 \ inetsrv \ APPCMD.EXE instalar módulo / nombre: [nombre del módulo] / imagen: [ruta a la DLL de RGDoor] / agregar: verdadero'
Una vez implementado en el servidor de destino, RGDoor entra en un modo inactivo en el que está escuchando activamente los comandos. La amenaza escanea cada solicitud HTTP POST entrante recibida por el servidor ISS y busca en el campo 'Cookie' HTTP las posibles instrucciones de los atacantes. Para acceder al campo Cookie se realiza la siguiente llamada a la función:
'pHttpContext-> GetRequest () -> GetHeader ("Cookie", NULL)'
Después de una serie de decodificación y descifrado, RGDoor escanea el texto sin formato derivado en busca de uno de los tres comandos: 'cmd $', 'upload $' y 'download $'. Si bien este es un conjunto de comandos bastante limitado, brindan suficientes oportunidades para que los atacantes carguen o descarguen archivos a su servidor, así como para ejecutar comandos arbitrarios a través del símbolo del sistema.
La presencia de RGDoor indica que el actor tiene planes para ataques persistentes contra los objetivos designados con el establecimiento de una segunda puerta trasera.
