Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Windows IIS-Webserver als Einfallstor

- Warnmeldung

Windows IIS-Webserver (Internet Information Services) werden von Organisationen jeder Größe zum Hosten von Webinhalten wie Websites, Apps und Diensten wie Microsoft Exchange Outlook verwendet. Es handelt sich um eine flexible Lösung. Wenn die Server jedoch schlecht verwaltet oder veraltet sind, können sie als Einfallstor in ein Netzwerk dienen.
Hände ziehen Rechner aus Serverschrank

© CSBW

Vorgehensweise von Lazarus

Die Lazarus-Gruppierung nutzt anfällige Windows IIS-Webserver aus, um einen ersten Zugriff auf  Unternehmensnetzwerke zu erhalten. Die neueste Angriffstaktik auf Windows-IIS-Server wurde von südkoreanischen Forschern entdeckt. Die Taktik dient der Informationsgewinnung für einen möglichen späteren Angriff.

Lazarus verschafft sich zunächst Zugriff auf IIS-Server. Dafür werden bekannte Schwachstellen oder Fehlkonfigurationen ausgenutzt. Diese erlauben es, Dateien auf dem IIS-Server zu erstellen. Die Hacker legen folgende Dateien ab:

  • Wordconv.exe (legitime Datei, die Teil von Microsoft Office ist)
  • bösartige Datei msvcr100.dll im selben Ordner
  • verschlüsselte Datei msvcr100.dat

Beim Starten von Wordconv.exe wird der Schadcode aus der bösartigen DLL-Datei geladen, um die Datei msvcr100.dat zu entschlüsseln und im Speicher auszuführen. Dort können sie Antiviren-Tools nicht erkennen. In der zweiten Phase des Angriffs erstellt Lazarus eine zweite Malware (diagn.dll), indem ein Notepad++-Plugin ausgenutzt wird. Diese zweite Malware empfängt eine neue Nutzlast, die mit dem RC6-Algorithmus codiert ist, entschlüsselt sie mit einem hartcodierten Schlüssel und führt sie zur Umgehung im Speicher aus.

Was diese Nutzlast auf dem angegriffenen System bewirkt, ist nicht ganz klar. Es gibt jedoch Anzeichen von LSASS-Dumping, die auf das Ausspähen von Zugangsdaten hindeuten.

Im letzten Schritt des Angriffs folgen Netzwerkaufklärung und laterale Bewegungen. Hierfür werden gültige Zugangsdaten verwendet, die vermutlich im vorherigen Schritt beschafft wurden.

Bewertung der CSBW

Lazarus ist in erster Linie finanziell motiviert und trägt hauptsächlich zu Nordkoreas Waffenentwicklungsprogrammen bei. Allerdings war die Gruppe auch in mehrere Spionageoperationen verwickelt.

Empfehlungen der CSBW

  • Da Lazarus insbesondere bei ihren ersten Infiltrationen hauptsächlich die DLL-Sideloading-Technik nutzt, sollten Sie die Ausführung ungewöhnlicher Prozesse proaktiv überwachen und Präventivmaßnahmen ergreifen. Dadurch können die Informationsexfiltration und laterale Bewegungen verhindert werden. Nutzen Sie dafür die veröffentlichten Indikatoren (IoCs).
  • Halten Sie Windows IIS-Webserver auf dem aktuellen Stand.

Ausführliche Informationen (einschl. Indikatoren)

Alternative Namen von Lazarus

Lazarus ist auch unter folgenden Namen bekannt:

  • Guardians of Peace (GOP)
  • APT38

  • Die Cybersicherheitsagentur Baden-Württemberg (CSBW) ist die neueste Landesoberbehörde im Land. Grundlage für ihre Gründung ist das Cybersicherheitsgesetz. Seit 2021 begegnet das stetig wachsende und breit aufgestellte Team der CSBW den immer größer werdenden Gefahren von Cyberangriffen im digitalen Raum. Sie steht im ständigen Austausch mit allen relevanten Sicherheitsbehörden und Akteuren. Zentrale Aufgabe der CSBW ist es, die Cybersicherheit in Baden-Württemberg zu verbessern. Im Fokus steht dabei vor allem die Landesverwaltung. Die wichtigsten Schlagworte dabei sind: Prävention, Detektion und Reaktion.