T1505: КОМПОНЕНТИ СЕРВЕРНОГО ПЗ
Зловмисники зловживають легітимними функціями розширення серверних додатків для встановлення постійного доступу. Корпоративні сервери (веб-сервери, поштові сервери, бази даних) часто дозволяють розробникам встановлювати модулі, плагіни або скрипти для розширення функціоналу. Хакери впроваджують шкідливі компоненти (наприклад, Web Shell), які дозволяють виконувати команди в системі прямо через HTTP-запити або інтерфейс сервера.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати легіторними функціями розширення серверів для встановлення постійного доступу до систем. Корпоративні серверні додатки можуть включати функції, які дозволяють розробникам писати та встановлювати програмне забезпечення або скрипти для розширення функціональності основного додатка. Зловмисники можуть встановлювати шкідливі компоненти для розширення та зловживання серверними додатками.
Найпоширеніші типи серверних компонентів-паразитів:
- Web Shell (T1505.003): Шкідливий скрипт (PHP, ASPX, JSP), розміщений на веб-сервері. Він надає зловмиснику інтерфейс командного рядка через веб-браузер. Це найпопулярніший метод утримання доступу після зламу сайту або сервера.
- IIS Modules (T1505.004): Зловмисник реєструє шкідливу DLL як модуль для Microsoft IIS. Цей модуль може бачити весь вхідний трафік, включаючи логіни та паролі, ще до того, як вони будуть зашифровані або оброблені системою.
- SQL Stored Procedures (T1505.001): Використання таких функцій, як xp_cmdshell у MS SQL Server. Це дозволяє зловмиснику виконувати команди ОС прямо з вікна SQL-запитів, фактично перетворюючи базу даних на консоль керування сервером.
- Exchange Transport Agents (T1505.002): Встановлення модуля на поштовий сервер, який може автоматично читати, змінювати або пересилати всі листи, що проходять через організацію.
Чому це важко виявити?
- Трафік-маскування: Взаємодія з веб-шеллом відбувається через порт 80 або 443. Для систем захисту це виглядає як звичайний HTTP-запит до сайту.
- Відсутність нових процесів: Модулі IIS працюють всередині легітимного процесу w3wp.exe, не створюючи підозрілих нових гілок у дереві процесів.
- Стійкість: Навіть якщо зловмисника видалять із системи як користувача, його веб-шелл залишиться на диску і дозволить повернутися в будь-який момент.
Як захиститися?
- Сканування веб-директорій: Регулярна перевірка папок веб-сервера на предмет появи нових або змінених файлів (File Integrity Monitoring).
- Обмеження прав: Веб-сервер повинен працювати від імені облікового запису з мінімальними правами (Service Account) і не мати права запису у власні веб-директорії.
- Аудит модулів: Регулярна перевірка списку встановлених модулів IIS за допомогою команди appcmd list modules.
- Вимкнення небезпечних функцій SQL: Заборона використання xp_cmdshell, якщо це не є критично необхідним для роботи.