ASPXspy.aspx – Lcx.Exe – Controllo Remoto del Vostro Server

In questo articolo vi racconterò l’esperienza “subita” da un nuovo Trojan per attaccare i WebServer : ASPXspy.aspx
E’ una semplice pagina ASPX e quindi eseguita da Net.Framework. E’ a suo agio con Net.Framework 4.0 e anche con alcune versioni precedenti.
Prima di capire che il problema (del nostro server) derivava da ASPXspy abbiamo impiegato un pò di tempo.
Il primo problema rilevato è stata la presenza di un altro componente LCX.EXE. Questo componente associato a ASPXspy permetteva all’utente di prendere in controllo il server con Desktop Remoto. Anche se il server era protetto da Firewall Locale e da Firewall hardware, LCX e ASPXspy “mappano” una porta locale su un sistema remoto.
Un pò come trasmettere all’esterno la porta 3389 del server. Il Malintenzionato “mappava” la porta su un’altra del proprio server (es. la 56) e poteva connettersi in quanto la “sessione” di desktop remoto era iniziata dal server (di destinazione).
Abbiamo impiegato un pò di tempo a cercare di capire e bloccare Lcx.Exe.
Il malintenzionato “portava” con se anche CMD.EXE in quanto ASPXspy consente di lanciare eseguibili (con privilegi Framework) anche in percorsi diversi.
Successivamente abbiamo rilevato files e cartelle cancellati e anche “utenti” Administrator che erano “creati” nel sistema (GetPass_cmd.exe)
Scansioni con ClamWin o Microsoft Security Essential riuscivano a identificare lo script e a rimuoverlo ma non a “prevenire” il suo inserimento in quanto sono Antivirus che non analizzano il traffico di rete. L’unico Antivirus che riesce a bloccare lo script è Symantec Endpoint in quanto dispone di un modulo per l’analisi del traffico di rete.

Alcuni SCREENSHOT di quello che può fare ASPXspy.

Per Bloccare questo componente la soluzione migliore è utilizzare un buon Antivirus che consenta la scansione del traffico di rete in accoppiata con URLSCAN 3.1
Il file di configurazione di Urlscan deve però essere modificato per creare una REGOLA per il blocco del componente.
E’ possibile creare una regola con questa configurazione :

RuleList=ASPXSpy

[ASPXSpy]
AppliesTo=.aspx,.asp,.php,.pl,.cgi,.py,.htm,.html,.css
DenyDataSection=ASPXSpyUrls
ScanAllRaw=0
ScanUrl=1
ScanHeaders=Cookie

[ASPXSpyUrls]
ASPXSpy=

In ALLEGATO un esempio di UrlScan.INI
UrlScan ASPXspy

Lo script è composto di righe di codice come queste :

<%@ Page Language=”C#” Debug=”true” trace=”false” validateRequest=”false” EnableViewStateMac=”false” EnableViewState=”true”%>
<%@ import Namespace=”System.IO”%>
<%@ import Namespace=”System.Diagnostics”%>
<%@ import Namespace=”System.Data”%>
<%@ import Namespace=”System.Management”%>
<%@ import Namespace=”System.Data.OleDb”%>
<%@ import Namespace=”Microsoft.Win32″%>
<%@ import Namespace=”System.Net.Sockets” %>
<%@ import Namespace=”System.Net” %>
<%@ import Namespace=”System.Runtime.InteropServices”%>
<%@ import Namespace=”System.DirectoryServices”%>
<%@ import Namespace=”System.ServiceProcess”%>
<%@ import Namespace=”System.Text.RegularExpressions”%>
<%@ Import Namespace=”System.Threading”%>
<%@ Import Namespace=”System.Data.SqlClient”%>
<%@ import Namespace=”Microsoft.VisualBasic”%>
<%@ Assembly Name=”System.DirectoryServices,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”System.Management,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”System.ServiceProcess,Version=2.0.0.0,Culture=neutral,PublicKeyToken=B03F5F7F11D50A3A”%>
<%@ Assembly Name=”Microsoft.VisualBasic,Version=7.0.3300.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a”%>
…….