মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভার বিশ্বব্যাপী গোপন নতুন ব্যাকডোর দ্বারা আঘাত

মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভার বিশ্বব্যাপী গোপন নতুন ব্যাকডোর দ্বারা আঘাত

গেটি ইমেজ

গবেষকরা গোপন নতুন ম্যালওয়্যার সনাক্ত করেছেন যা হুমকি অভিনেতারা গত 15 মাস ধরে ব্যাকডোর মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারগুলি হ্যাক হওয়ার পরে ব্যবহার করছে৷

Dabbed SessionManager, দূষিত সফ্টওয়্যারটি ইন্টারনেট ইনফরমেশন সার্ভিসেস (IIS) এর জন্য একটি বৈধ মডিউল হিসাবে প্রকাশ করে, যা এক্সচেঞ্জ সার্ভারে ডিফল্টভাবে ইনস্টল করা ওয়েব সার্ভার। সংস্থাগুলি প্রায়শই তাদের ওয়েব পরিকাঠামোতে নির্দিষ্ট প্রক্রিয়াগুলিকে স্ট্রীমলাইন করতে IIS মডিউল স্থাপন করে। নিরাপত্তা সংস্থা ক্যাসপারস্কির গবেষকরা 2021 সালের মার্চ থেকে সেশন ম্যানেজার দ্বারা সংক্রামিত 24টি সংস্থার 34টি সার্ভার সনাক্ত করেছেন৷ এই মাসের শুরুতে, ক্যাসপারস্কি বলেছেন, 20টি সংস্থা সংক্রামিত রয়ে গেছে৷

চৌর্য, অধ্যবসায়, শক্তি

ক্ষতিকারক IIS মডিউলগুলি শক্তিশালী, ক্রমাগত, এবং গোপনীয় পিছনের দরজা স্থাপন করার জন্য একটি আদর্শ উপায় সরবরাহ করে। একবার ইনস্টল হয়ে গেলে, তারা অপারেটর দ্বারা পাঠানো বিশেষভাবে তৈরি করা HTTP অনুরোধগুলির প্রতিক্রিয়া জানাবে যাতে সার্ভারকে ইমেলগুলি সংগ্রহ করতে, আরও দূষিত অ্যাক্সেস যোগ করতে বা গোপন উদ্দেশ্যে আপোস করা সার্ভারগুলি ব্যবহার করার নির্দেশ দেয়। অপ্রশিক্ষিত চোখের কাছে, এইচটিটিপি অনুরোধগুলি অসাধারণ দেখায়, যদিও তারা অপারেটরকে মেশিনের উপর সম্পূর্ণ নিয়ন্ত্রণ দেয়।

“এই ধরনের দূষিত মডিউলগুলি সাধারণত তাদের অপারেটরদের কাছ থেকে আপাতদৃষ্টিতে বৈধ কিন্তু বিশেষভাবে তৈরি করা HTTP অনুরোধ আশা করে, অপারেটরদের লুকানো নির্দেশাবলীর উপর ভিত্তি করে ক্রিয়াকলাপ ট্রিগার করে, তারপর অন্য যেকোনো অনুরোধের মতো এটি প্রক্রিয়া করার জন্য সার্ভারে অনুরোধটি স্বচ্ছভাবে পাস করে,” ক্যাসপারস্কি গবেষক পিয়েরে ডেলচার লিখেছেন। “ফলে, এই ধরনের মডিউলগুলি স্বাভাবিক পর্যবেক্ষণ অনুশীলন দ্বারা সহজে দেখা যায় না: তারা অগত্যা বহিরাগত সার্ভারগুলিতে সন্দেহজনক যোগাযোগ শুরু করে না, বিশেষভাবে এই ধরনের প্রক্রিয়াগুলির সংস্পর্শে আসা সার্ভারে HTTP অনুরোধের মাধ্যমে কমান্ড গ্রহণ করে এবং তাদের ফাইলগুলি প্রায়শই স্থাপন করা হয়৷ উপেক্ষিত অবস্থান যেখানে অনেক অন্যান্য বৈধ ফাইল রয়েছে।”

ক্যাসপারস্কি

একবার সেশন ম্যানেজার স্থাপন করা হলে, অপারেটররা এটিকে সংক্রামিত পরিবেশকে আরও প্রোফাইল করতে, মেমরিতে সংরক্ষিত পাসওয়ার্ড সংগ্রহ করতে এবং একটি PowerSploit-ভিত্তিক প্রতিফলিত লোডার, Mimikat SSP, ProcDump এবং একটি বৈধ Avast মেমরি ডাম্প টুল সহ অতিরিক্ত সরঞ্জামগুলি ইনস্টল করতে ব্যবহার করে৷ Kaspersky একাধিক SessionManager ভেরিয়েন্ট পেয়েছে যেগুলি কমপক্ষে মার্চ 2021 তারিখের। নমুনাগুলি একটি অবিচলিত বিবর্তন দেখায় যা প্রতিটি নতুন সংস্করণে আরও বৈশিষ্ট্য যুক্ত করেছে। দূষিত মডিউলের সাম্প্রতিকতম সংস্করণে নিম্নলিখিতগুলি অন্তর্ভুক্ত রয়েছে:

কমান্ডের নাম
(SM_SESSION কুকি মান)
কমান্ড পরামিতি
(অতিরিক্ত কুকিজ)
সংশ্লিষ্ট ক্ষমতা
নথিভুক্ত কর FILEPATH: পড়ার জন্য ফাইলের পথ। FILEPOS1: অফসেট যেটিতে পড়া শুরু করতে হবে, ফাইল শুরু থেকে।

FILEPOS2: পড়ার জন্য সর্বাধিক সংখ্যক বাইট।

আপস করা সার্ভারে একটি ফাইলের বিষয়বস্তু পড়ুন এবং cool.rar নামে একটি HTTP বাইনারি ফাইল হিসাবে অপারেটরের কাছে পাঠান।
পুটফাইল FILEPATH: ফাইলের পাথ লিখতে হবে।

FILEPOS1: অফসেট যেটায় লেখা শুরু করতে হবে।

FILEPOS2: অফসেট রেফারেন্স।

FILEMODE: অনুরোধ করা ফাইল অ্যাক্সেস প্রকার।

আপস করা সার্ভারে একটি ফাইলে নির্বিচারে বিষয়বস্তু লিখুন। নির্দিষ্ট ফাইলে যে ডেটা লিখতে হবে তা HTTP অনুরোধের বডির মধ্যে পাস করা হয়।
নথিপত্র মুছে দাও FILEPATH: ফাইলের পথ মুছে ফেলা হবে। আপস করা সার্ভারে একটি ফাইল মুছুন।
ফাইলের আকার FILEPATH: ফাইলের পথ পরিমাপ করা হবে। নির্দিষ্ট ফাইলের আকার (বাইটে) পান।
সিএমডি কোনোটিই নয়। আপস করা সার্ভারে একটি নির্বিচারে প্রক্রিয়া চালান। চালানোর প্রক্রিয়া এবং এর আর্গুমেন্টগুলি ফর্ম্যাট ব্যবহার করে HTTP অনুরোধের বডিতে নির্দিষ্ট করা হয়েছে: \t. প্রসেস এক্সিকিউশন থেকে স্ট্যান্ডার্ড আউটপুট এবং ত্রুটি ডেটা HTTP প্রতিক্রিয়া বডিতে অপারেটরের কাছে প্লেইন টেক্সট হিসাবে ফেরত পাঠানো হয়।
পিং কোনোটিই নয়। সেশন ম্যানেজার স্থাপনের জন্য চেক করুন। “কাজ ঠিক আছে” (sic.) বার্তাটি HTTP প্রতিক্রিয়া বডিতে অপারেটরকে পাঠানো হবে।
S5 সংযোগ S5HOST: সংযোগ করার জন্য হোস্টের নাম (S5IP এর সাথে একচেটিয়া)।

S5PORT: অফসেট যেখানে লেখা শুরু করতে হবে।

S5IP: কোনো হোস্টনেম না দিলে সংযোগ করার জন্য IP ঠিকানা (S5HOST এর সাথে একচেটিয়া)।

S5TIMEOUT: সংযোগের অনুমতি দিতে সেকেন্ডে সর্বাধিক বিলম্ব।

তৈরি করা TCP সকেট ব্যবহার করে আপস করা হোস্ট থেকে একটি নির্দিষ্ট নেটওয়ার্ক এন্ডপয়েন্টে সংযোগ করুন। তৈরি এবং সংযুক্ত সকেটের পূর্ণসংখ্যা শনাক্তকারীকে HTTP প্রতিক্রিয়াতে S5ID কুকি ভেরিয়েবলের মান হিসাবে ফেরত দেওয়া হবে এবং সংযোগের স্থিতি HTTP প্রতিক্রিয়া বডিতে রিপোর্ট করা হবে।
S5WRITE S5ID: লেখার জন্য সকেটের শনাক্তকারী, S5CONNECT দ্বারা ফেরত দেওয়া হয়েছে। নির্দিষ্ট সংযুক্ত সকেটে ডেটা লিখুন। নির্দিষ্ট সকেটে যে ডেটা লিখতে হবে তা HTTP অনুরোধের বডির মধ্যে পাস করা হয়।
S5READ S5ID: যে সকেট থেকে পড়তে হবে তার শনাক্তকারী, যেমন S5CONNECT দ্বারা ফিরে এসেছে। নির্দিষ্ট সংযুক্ত সকেট থেকে ডেটা পড়ুন। পঠিত ডেটা HTTP প্রতিক্রিয়া বডিতে ফেরত পাঠানো হয়।
S5CLOSE S5ID: বন্ধ করার জন্য সকেটের শনাক্তকারী, যেমন S5CONNECT দ্বারা ফিরে এসেছে। একটি বিদ্যমান সকেট সংযোগ বন্ধ করুন। অপারেশনের স্থিতি HTTP প্রতিক্রিয়া বডির মধ্যে একটি বার্তা হিসাবে ফিরে আসে।

ProxyLogon মনে আছে?

হুমকি অভিনেতারা মাইক্রোসফ্ট এক্সচেঞ্জ সার্ভারের মধ্যে প্রক্সিলগন নামে পরিচিত দুর্বলতাগুলিকে কাজে লাগানোর পরে সেশন ম্যানেজার ইনস্টল করা হয়। ক্যাসপারস্কি এটি আফ্রিকা, দক্ষিণ আমেরিকা, এশিয়া এবং ইউরোপে এনজিও, সরকার, সামরিক বাহিনী এবং শিল্প সংস্থাগুলিকে সংক্রামিত করতে দেখেছে।

ক্যাসপারস্কি

ক্যাসপারস্কি বলেছেন যে এটির মাঝারি থেকে উচ্চ আত্মবিশ্বাস রয়েছে যে একটি পূর্বে চিহ্নিত হুমকি অভিনেতা যাকে গবেষকরা জেলসেমিয়াম বলে সেশন ম্যানেজার মোতায়েন করছে। নিরাপত্তা সংস্থা ESET গত বছর গ্রুপের (পিডিএফ) উপর একটি গভীর ডুব প্রকাশ করেছে। ক্যাসপারস্কির অ্যাট্রিবিউশন দুটি গোষ্ঠীর দ্বারা ব্যবহৃত কোডের ওভারল্যাপের উপর ভিত্তি করে এবং লক্ষ্যবস্তুতে আক্রান্তদের।

সেশন ম্যানেজার বা অনুরূপ দূষিত IIS মডিউল দ্বারা আঘাত করা সার্ভারগুলিকে জীবাণুমুক্ত করা একটি জটিল প্রক্রিয়া। ক্যাসপারস্কির পোস্টে এমন সূচক রয়েছে যা সংস্থাগুলি তারা সংক্রামিত হয়েছে কিনা তা নির্ধারণ করতে এবং সংক্রমিত হওয়ার ক্ষেত্রে তাদের পদক্ষেপ নেওয়া উচিত।