技術支援
文件
登錄
聯繫我們
Cranefly駭客利用Microsoft IIS部署惡意軟體
奧班拉·奧佩耶米
實施期間: 2022年11月10 日 - TuxCare專家團隊
微軟互聯網資訊服務(IIS)是一種支援託管網站和Web應用程式的Web伺服器,正在被Cranefly駭客組織利用,在受感染的設備上部署和控制惡意軟體。
根據網路安全公司賽門鐵克的一份報告,駭客組織利用IIS技術向安裝在設備上的後門惡意軟體發送命令。
就像任何 Web 伺服器一樣,一旦遠端使用者存取網頁,IIS 就會將請求記錄到包含時間戳、源 IP 位址、請求的 URL、HTTP 狀態代碼等的日誌檔中。Web伺服器主要用於存儲來自全球任何訪問者的請求,很少受到安全軟體的監控。
雖然惡意軟體通過網路連接接收命令和控制伺服器的命令,但 Web 伺服器日誌充當惡意活動的重要推動因素,因為 Web 伺服器日誌可用於存儲來自全球任何訪問者的請求。它們也很少受到安全軟體的監控,這使它們成為存儲惡意命令的有趣場所,同時減少了被檢測到的機會。
根據賽門鐵克研究人員的說法,Cranefly使用一個名為“Trojan.Geppei”的新投放器,該投放器安裝了“Trojan.Danfuan”,這是一種以前未知的惡意軟體。研究人員解釋說,Geppei能夠直接從IIS日誌中讀取命令,同時搜索特定的字串串(wrde,Exco,Cilo,然後對其進行分析以提取有效載荷。
“字串 Wrde、Exco 和 Cilo 通常不會出現在 IIS 日誌檔中。這些似乎被用於Geppei的惡意HTTP請求解析,這些字串的存在促使投放器在機器上執行活動,「賽門鐵克報告解釋道。
該惡意軟體還會安裝其他惡意軟體(“Wrde”字串)並執行命令(“Exco”字串)或刪除強禁用 IIS 日誌記錄的工具(“Cllo”強)。在某些情況下,如果HTTP請求包含“Wrde”字符串,Geppei會將ReGeorg webshell或以前未記錄的Danfuan工具放在特定資料夾中。ReGeorg本身就是一個記錄在案的惡意軟體,Cranefly使用它進行反向代理。Danfuan 是一種新發現的惡意軟體,可以接收 C# 代碼並將其動態編譯到主機的記憶體中。
為了默契地促進情報,Cranefly使用上述技術在受感染的伺服器上站穩腳跟,這種策略有助於逃避執法部門的跟蹤。它還可以幫助攻擊者通過各種管道(如代理伺服器、VPN、Tor 或在線程式設計 IDE)傳輸命令。
這篇文章的來源包括 BleepingComputer上的一篇文章。
