Cranefly hack grubunun diğer adıyla UNC3524, Microsoft Internet Information Services (IIS) web sunucusu log’larını kullanarak zararlı bulaşmış cihazları uzaktan kontrol edebilen yeni bir teknik kullanmaya başladıkları ortaya çıktı.
Symantec tarafından hazırlanan yeni bir rapor, bilgisayar korsanlığı grubunun, cihazda yüklü backdoor yazılımlarına komut göndermek için IIS loglarını kullandılarını ortaya çıkardı. Öte yandan, web sunucusu logları dünya çapındaki herhangi bir ziyaretçiden gelen istekleri depolamak için kullanılıyor ve nadiren güvenlik yazılımı tarafından izlenmekte bu da onları kötü amaçlı komutları depolamak için harika bir konum haline getirirken tespit edilme şansını azaltır. Bu yüzden SIEM veya diğer log ürünleri ile IIS loglarını doğru almak ve incelemek hayati önem taşıyor.
Symantec, Cranefly tarafından kullanılan ve önceden bilinmeyen bir kötü amaçlı yazılım olan “Trojan.Danfuan”ı yükleyen “Trojan.Geppei” adlı yeni bir dropper keşfetti. Geppei, komutları ve payload’ları çıkarmak için belirli dizeleri (Wrde, Exco, Cllo) arayarak doğrudan IIS log’larında komutları okuyabiliyor. Symantec’in raporu “Wrde, Exco ve Cllo dizeleri normalde IIS günlük dosyalarında görünmüyor.
IIS loglarında bulunan dizeye bağlı olarak, kötü amaçlı yazılım yeni kötü amaçlı yazılımları yüklüyor (‘Wrde’ dizesi) ve bir komut yürütüyor (‘Exco’ dizesi) veya IIS log’ları devre dışı bırakan bir araç bırakıyor (‘Cllo’ dizesi).
Örneğin, HTTP isteği “Wrde” dizesini içeriyorsa, Geppei bir ReGeorg web shell veya Danfuan aracını belirtilen bir klasöre kopyalıyor. ReGeorg, Cranefly’nin reverse proxy için kullandığı kötü amaçlı yazılım iken Danfuan, C# kodunu alabilen ve ana bilgisayarın belleğinde dinamik olarak derleyebilen yeni keşfedilen bir kötü amaçlı yazılım.
İstek “Exco” dizesini içeriyorsa, backdoor şifresini çözüyor ve sunucuda komutu başlatıyor. Son olarak, “Cllo” dizesi, Service Control Manager’da olay günlüğünü devre dışı bırakan “sckspy.exe” adlı aracını bırakan clear() işlevini çağırıyor.
Cranefly, bu gizli tekniği zafiyetler ve yeterince güvenliği sağlanmamış sunuculardan istihbarat toplamak için kullanıyor.
Kaynak: bleepingcomputer.com