Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Cranefly-Hacker nutzen Microsoft IIS zur Verbreitung von Malware
10. November 2022. TuxCare PR Team
Microsoft Internet Information Services (IIS), ein Webserver, der das Hosting von Websites und Webanwendungen ermöglicht, wird von der Hackergruppe Cranefly ausgenutzt, um Malware auf infizierten Geräten zu installieren und zu steuern.
Einem Bericht des Cybersicherheitsunternehmens Symantec zufolge nutzt die Hackergruppe die IIS-Technologie aus, um Befehle an eine auf dem Gerät installierte Backdoor-Malware zu senden.
Wie jeder Webserver protokolliert der IIS, sobald ein entfernter Benutzer auf eine Webseite zugreift, die Anfrage in Protokolldateien, die den Zeitstempel, die IP-Quelladressen, die angeforderte URL, die HTTP-Statuscodes und mehr enthalten. Webserver werden hauptsächlich dazu verwendet, Anfragen von Besuchern aus aller Welt zu speichern, und werden nur selten von Sicherheitssoftware überwacht.
Während Malware Befehle über Netzwerkverbindungen zu Command-and-Control-Servern empfängt, sind Webserver-Protokolle ein großartiger Wegbereiter für bösartige Aktivitäten, da Webserver-Protokolle dazu verwendet werden können, Anfragen von jedem Besucher weltweit zu speichern. Außerdem werden sie nur selten von Sicherheitssoftware überwacht, was sie zu einem interessanten Ort für die Speicherung bösartiger Befehle macht und die Wahrscheinlichkeit, entdeckt zu werden, verringert.
Nach Angaben der Symantec-Forscher verwendet Cranefly einen neuen Dropper namens "Trojan.Geppei", der "Trojan.Danfuan", eine bisher unbekannte Malware, installiert. Die Forscher erklärten, dass Geppei in der Lage ist, Befehle direkt aus den IIS-Protokollen zu lesen, während er nach bestimmten Zeichenfolgen (wrde, Exco, Cilo) sucht, die dann analysiert werden, um Nutzdaten zu extrahieren.
"Die Zeichenketten Wrde, Exco und Cilo erscheinen normalerweise nicht in IIS-Protokolldateien. Sie scheinen von Geppei für das Parsen bösartiger HTTP-Anfragen verwendet zu werden. Das Vorhandensein dieser Zeichenketten veranlasst den Dropper, Aktivitäten auf einem Rechner auszuführen", erklärt der Symantec-Bericht.
Die Malware installiert außerdem zusätzliche Malware ("Wrde"-String) und führt einen Befehl aus ("Exco"-String) oder legt ein Tool ab, das die IIS-Protokollierung stark beeinträchtigt ("Cllo"-String). In einigen Fällen, wenn die HTTP-Anfrage die Zeichenkette "Wrde" enthält, platziert Geppei eine ReGeorg-Webshell oder ein bisher nicht dokumentiertes Danfuan-Tool in einem bestimmten Ordner. ReGeorg ist selbst eine dokumentierte Malware, die Cranefly für Reverse Proxying verwendet. Danfuan ist eine neu entdeckte Malware, die C#-Code empfangen und dynamisch in den Speicher des Hosts kompilieren kann.
Um stillschweigend nachrichtendienstliche Erkenntnisse zu fördern, nutzt Cranefly die oben genannte Technik, um auf kompromittierten Servern Fuß zu fassen - eine Taktik, die es ermöglicht, die Verfolgung durch die Strafverfolgungsbehörden zu umgehen. Sie hilft Angreifern auch, Befehle über verschiedene Kanäle wie Proxy-Server, VPNs, Tor oder Online-Programmier-IDEs zu übertragen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
