기술 지원
문서
로그인
문의하기
크랜플라이 해커는 Microsoft IIS를 악용하여 멀웨어를 배포합니다.
2022년 11월 10일 TuxCare 홍보팀
웹사이트와 웹 애플리케이션 호스팅을 가능하게 하는 웹 서버인 Microsoft 인터넷 정보 서비스(IIS)는 감염된 디바이스에 멀웨어를 배포하고 제어하기 위해 크랜플라이 해킹 그룹에 의해 악용되고 있습니다.
사이버 보안 회사 시만텍의 보고서에 따르면, 해킹 그룹은 IIS 기술을 악용하여 디바이스에 설치된 백도어 멀웨어에 명령을 전송합니다.
다른 웹 서버와 마찬가지로 원격 사용자가 웹 페이지에 액세스하면 IIS는 타임스탬프, 소스 IP 주소, 요청된 URL, HTTP 상태 코드 등이 포함된 로그 파일에 요청을 기록합니다. 웹 서버는 주로 전 세계 모든 방문자의 요청을 저장하는 데 사용되며 보안 소프트웨어로 거의 모니터링되지 않습니다.
멀웨어는 네트워크 연결을 통해 명령 및 제어 서버에 명령을 수신하지만, 웹 서버 로그는 전 세계 모든 방문자의 요청을 저장하는 데 사용할 수 있기 때문에 악성 활동의 큰 조력자 역할을 합니다. 또한 보안 소프트웨어에 의해 거의 모니터링되지 않기 때문에 탐지될 가능성을 줄이면서 악성 명령을 저장할 수 있는 흥미로운 장소이기도 합니다.
시만텍 연구진에 따르면, 크레인플라이는 이전에 알려지지 않은 멀웨어인 '트로이.단푸안'을 설치하는 '트로이.게페이'라는 새로운 드로퍼를 사용합니다. 연구원들은 Geppei가 특정 문자열(wrde, Exco, Cilo)을 검색하는 동안 IIS 로그에서 직접 명령을 읽을 수 있으며, 이를 분석하여 페이로드를 추출한다고 설명했습니다.
"Wrde, Exco 및 Cilo 문자열은 일반적으로 IIS 로그 파일에 나타나지 않습니다. 이러한 문자열은 Geppei의 악성 HTTP 요청 구문 분석에 사용되는 것으로 보이며, 이러한 문자열이 존재하면 드롭퍼가 컴퓨터에서 활동을 수행하도록 유도합니다."라고 시만텍 보고서는 설명합니다.
또한 이 멀웨어는 추가 멀웨어('Wrde' 문자열)를 설치하고 명령('Exco' 문자열)을 실행하거나 IIS 로깅을 강력하게 비활성화하는 도구('Cllo' 강력)를 드롭합니다. 경우에 따라 HTTP 요청에 'Wrde' 문자열이 포함된 경우, Geppei는 특정 폴더에 ReGeorg 웹셸 또는 이전에 문서화되지 않은 Danfuan 도구를 배치합니다. ReGeorg는 그 자체로 문서화된 멀웨어로, 크래너플라이가 리버스 프록시에 사용합니다. Danfuan은 새로 발견된 멀웨어로, C# 코드를 수신하여 호스트의 메모리로 동적으로 컴파일할 수 있습니다.
크랜플라이는 위의 기법을 사용하여 침해된 서버에 대한 발판을 마련하고 법 집행 기관의 추적을 회피하는 데 도움이 되는 전술을 암묵적으로 홍보합니다. 또한 공격자가 프록시 서버, VPN, Tor 또는 온라인 프로그래밍 IDE와 같은 다양한 채널을 통해 명령을 전송하는 데 도움이 됩니다.
이 글의 출처는 BleepingComputer의 기사입니다.
