Support technique
Documentation
Connexion
Nous contacter
Les pirates de Cranefly exploitent Microsoft IIS pour déployer des logiciels malveillants.
Obanla Opeyemi
10 novembre 2022 - L'équipe d'experts de TuxCare
Microsoft Internet Information Services (IIS), un serveur web qui permet d'héberger des sites et des applications web, est exploité par le groupe de pirates Cranefly pour déployer et contrôler des logiciels malveillants sur des appareils infectés.
Selon un rapport de la société de cybersécurité Symantec, le groupe de pirates exploite la technologie IIS pour envoyer des commandes à un logiciel malveillant à porte dérobée installé sur l'appareil.
Comme tout serveur Web, dès qu'un utilisateur distant accède à une page Web, l'IIS enregistre la demande dans des fichiers journaux qui contiennent l'horodatage, les adresses IP sources, l'URL demandée, les codes d'état HTTP, etc. Les serveurs Web sont principalement utilisés pour stocker les demandes de n'importe quel visiteur dans le monde entier et sont rarement surveillés par des logiciels de sécurité.
Alors que les logiciels malveillants reçoivent des commandes par le biais de connexions réseau à des serveurs de commande et de contrôle, les journaux des serveurs Web constituent un excellent moyen de favoriser les activités malveillantes, car les journaux des serveurs Web peuvent être utilisés pour stocker les demandes de n'importe quel visiteur dans le monde entier. Ils sont également rarement surveillés par les logiciels de sécurité, ce qui en fait un endroit intéressant pour stocker des commandes malveillantes tout en réduisant les risques d'être détecté.
Selon les chercheurs de Symantec, Cranefly utilise un nouveau dropper nommé "Trojan.Geppei", qui installe "Trojan.Danfuan", un malware jusqu'alors inconnu. Les chercheurs ont expliqué que Geppei est capable de lire les commandes directement à partir des journaux IIS tout en recherchant des chaînes de caractères spécifiques (wrde, Exco, Cilo, qui sont ensuite analysées pour extraire des charges utiles.
"Les chaînes Wrde, Exco et Cilo n'apparaissent normalement pas dans les fichiers journaux IIS. Elles semblent être utilisées pour l'analyse des requêtes HTTP malveillantes par Geppei, la présence de ces chaînes incitant le dropper à mener des activités sur une machine", explique le rapport de Symantec.
Le malware installe également un malware supplémentaire (chaîne "Wrde") et exécute une commande (chaîne "Exco") ou dépose un outil qui désactive fortement la journalisation IIS (chaîne "Cllo"). Dans certains cas, si la requête HTTP contient la chaîne "Wrde", Geppei place un webshell ReGeorg ou un outil Danfuan non documenté auparavant dans un dossier spécifique. ReGeorg est lui-même un malware documenté que Cranefly utilise pour le reverse proxying. Danfuan est un malware récemment découvert qui peut recevoir du code C# et le compiler dynamiquement dans la mémoire de l'hôte.
Pour favoriser tacitement le renseignement, Cranefly utilise la technique ci-dessus pour prendre pied sur des serveurs compromis, une tactique qui permet d'échapper au repérage par les forces de l'ordre. Il aide également les attaquants à transmettre des commandes par divers canaux tels que les serveurs proxy, les VPN, Tor ou les IDE de programmation en ligne.
Les sources de cet article comprennent un article de BleepingComputer.
