fbpx

Microsoft alerta sobre malware FoggyWeb

Shape Image One
Microsoft alerta sobre malware FoggyWeb

Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Microsoft alerta sobre malware FoggyWeb. Espero que seja útil, um grande abraço e até a próxima. 

 

Microsoft alerta sobre malware FoggyWeb

A Microsoft revelou na segunda-feira um novo malware implantado pelo grupo de hackers por trás do ataque à cadeia de suprimentos da SolarWinds em dezembro passado para entregar cargas adicionais e roubar informações confidenciais de servidores Active Directory Federation Services ( AD FS). O Threat Intelligence Center (MSTIC) do gigante da tecnologia chamou de FoggyWeb “passivo e altamente direcionado”, tornando-o o ator ameaçador rastreado como a ferramenta mais recente do Nobelium em uma longa lista de armamentos cibernéticos, como Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage .

A Microsoft notificou todos os clientes observados como sendo alvos ou comprometidos por esta atividade. Se você acredita que sua organização foi comprometida, recomendamos que você

  • Audite sua infraestrutura local e em nuvem, incluindo configuração, configurações por usuário e por aplicativo, regras de encaminhamento e outras alterações que o ator pode ter feito para manter seu acesso
  • Remova o acesso do usuário e do aplicativo, analise as configurações de cada um e emita novamente credenciais novas e fortes de acordo com as práticas recomendadas da indústria documentadas.
  • Use um módulo de segurança de hardware (HSM)  conforme descrito em proteger servidores AD FS para evitar a exfiltração de segredos pela FoggyWeb.

Os produtos de segurança da Microsoft implementaram detecções e proteções contra esse malware. Indicadores de comprometimento (IOCs) , orientação de mitigação , detalhes de detecção e consultas de busca para Azure Sentinel eMicrosoft 365Os clientes do Defender são disponibilizados no final desta análise e nos portais de produtos. Os servidores AD FS (Serviços de Federação do Active Directory ) são executados no local e os clientes também podem seguir orientações detalhadas sobre como proteger os servidores AD FS contra ataques.

 

Como o FoggyWeb age?

FoggyWeb é um backdoor passivo e altamente direcionado, capaz de exfiltrar remotamente informações confidenciais de um servidor AD FS comprometido. Ele também pode receber componentes maliciosos adicionais de um servidor de comando e controle (C2) e executá-los no servidor comprometido.

Depois de comprometer um servidor AD FS, NOBELIUM foi observado eliminando os dois arquivos a seguir no sistema (privilégios administrativos são necessários para gravar esses arquivos nas pastas listadas abaixo):

  • % WinDir% \ ADFS \ version.dll
  • % WinDir% \ SystemResources \ Windows.Data.TimeZones \ pris \ Windows.Data.TimeZones.zh-PH.pri

O FoggyWeb é armazenado no arquivo criptografado Windows.Data.TimeZones.zh-PH.pri , enquanto o arquivo malicioso version.dll pode ser descrito como seu carregador. O executável do serviço AD FS Microsoft.IdentityServer.ServiceHost.exe carrega o referido arquivo DLL por meio da técnica de sequestro de ordem de pesquisa de DLL que envolve os principais arquivos DLL do Common Language Runtime (CLR) (descritos em detalhes na seção do carregador FoggyWeb). Este carregador é responsável por carregar o arquivo de backdoor FoggyWeb criptografado e utilizar uma rotina customizada de Algoritmo de Criptografia Leve (LEA) para descriptografar o backdoor na memória.

Depois de desofuscar a porta dos fundos, o carregador continua a carregar o FoggyWeb no contexto de execução do aplicativo AD FS. O carregador, um aplicativo não gerenciado, aproveita as interfaces de hospedagem CLR e APIs para carregar o backdoor, uma DLL gerenciada, no mesmo domínio de aplicativo dentro do qual o código gerenciado AD FS legítimo é executado. Isso concede ao backdoor acesso à base de código e recursos do AD FS, incluindo o banco de dados de configuração do AD FS (pois herda as permissões da conta de serviço do AD FS necessárias para acessar o banco de dados de configuração).

Diagrama mostrando a estrutura de Microsoft.IdentityServer.ServiceHost.exe após carregar version.dll

Quando carregado, o backdoor FoggyWeb (originalmente denominado Microsoft.IdentityServer.WebExtension.dll por seu desenvolvedor) funciona como um backdoor passivo e persistente que permite o abuso do token SAML (Security Assertion Markup Language). O backdoor configura ouvintes HTTP para URIs definidos por ator que imitam a estrutura dos URIs legítimos usados ​​pela implantação do AD FS de destino. Os ouvintes personalizados monitoram passivamente todas as solicitações HTTP GET e POST de entrada enviadas ao servidor AD FS da intranet / Internet e interceptam solicitações HTTP que correspondem aos padrões de URI personalizados definidos pelo ator. Esta versão do FoggyWeb configura ouvintes para os seguintes padrões de URI codificados (que podem variar por destino):

  • Padrão HTTP GET URI:
    • /adfs/portal/images/theme/light01/profile.webp
    • /adfs/portal/images/theme/light01/background.webp
    • /adfs/portal/images/theme/light01/logo.webp
  • Padrão HTTP POST URI:
    • / adfs / services / trust / 2005 / samlmixed / upload

Cada padrão HTTP GET / POST URI acima corresponde a um comando C2:

  • Quando o servidor AD FS recebe uma solicitação HTTP GET contendo o padrão URI /adfs/portal/images/theme/light01/profile.webp , o backdoor recupera o certificado de assinatura de token do servidor AD FS comprometido e, em seguida, ofusca e retorna o certificado para o emissor do pedido.
  • Da mesma forma, quando o servidor AD FS recebe uma solicitação HTTP GET contendo o padrão URI /adfs/portal/images/theme/light01/background.webp , o backdoor recupera o certificado de descriptografia de token do servidor AD FS comprometido e, em seguida, ofusca e retorna o certificado ao emissor do pedido.
  • Quando o servidor AD FS recebe uma solicitação HTTP GET contendo o padrão URI /adfs/portal/images/theme/light01/logo.webp , o backdoor recupera os dados de configuração do AD FS do servidor comprometido, ofusca os dados e retorna o ofuscado dados ao emissor da solicitação.
  • Quando o servidor AD FS recebe uma solicitação HTTP POST contendo o padrão URI / adfs / services / trust / 2005 / samlmixed / upload , o backdoor trata os dados POST ofuscados e compactados como assembly .NET ou código-fonte. Se assembly, a porta dos fundos executa o assembly no contexto de execução do processo AD FS. Se for código-fonte, o backdoor compila dinamicamente o código-fonte e prossegue para executar o assembly residente na memória resultante no contexto de execução do processo AD FS.

O diagrama abaixo ilustra a metodologia usada pelo ator para se comunicar com o backdoor FoggyWeb localizado em um servidor AD FS comprometido voltado para a Internet.

Diagrama mostrando a cadeia de ataque FoggyWeb

Como o FoggyWeb é executado no contexto do processo principal do AD FS, ele herda as permissões da conta de serviço do AD FS necessárias para acessar o banco de dados de configuração do AD FS. Isso contrasta com ferramentas como o ADFSDump, que deve ser executado no contexto do usuário da conta de serviço do AD FS. Além disso, como o FoggyWeb é carregado no mesmo domínio de aplicativo que o código gerenciado do AD FS, ele obtém acesso programático às classes, métodos, propriedades, campos, objetos e componentes legítimos do AD FS que são posteriormente aproveitados pelo FoggyWeb para facilitar suas operações maliciosas . Por exemplo, isso permite que FoggyWeb obtenha acesso aos dados de configuração do AD FS sem se conectar ao pipe nomeado WID ou executar manualmente consultas SQL para recuperar informações de configuração (por exemplo, para obter oBlob EncryptedPfx dos dados de configuração). FoggyWeb também é independente de versão do AD FS; ele não precisa controlar nomes e esquemas de tabelas de configuração herdados e modernos, nomes de canais nomeados e outras propriedades dependentes de versão do AD FS.

 

Já conhece o nosso Acesso Black?

Tenha acesso a todos os cursos da nossa plataforma por um valor ultra especial.
Saiba mais sobre o ACESSO BLACK clicando AQUI.

 

Já conhece o nosso Podcast?

Gostaram do artigo Microsoft alerta sobre malware FoggyWeb? Então conheça também o nosso Podcast – Formata meu PC?