Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/hackers-use-microsoft-iis-web-server-logs-to-control-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #hackers #usam #logs #do #servidor #web #do #microsoft #iis #para #controlar #malware
O grupo de hackers Cranefly, também conhecido como UNC3524, usa uma técnica inédita de controle de malware em dispositivos infectados por meio de logs do servidor web do Microsoft Internet Information Services (IIS).
O Microsoft Internet Information Services (IIS) é um servidor Web que permite hospedar sites e aplicativos Web. Ele também é usado por outros softwares, como Outlook na Web (OWA) para Microsoft Exchange para hospedar aplicativos de gerenciamento e interfaces da Web.
Como qualquer servidor da Web, quando um usuário remoto acessa uma página da Web, o IIS registrará a solicitação nos arquivos de log que contêm o carimbo de data/hora, os endereços IP de origem, a URL solicitada, os códigos de status HTTP e muito mais.
Esses logs são normalmente usados para solução de problemas e análises, mas um novo relatório da Symantec mostra que um grupo de hackers está utilizando a nova técnica de usar logs do IIS para enviar comandos para malware de backdoor instalado no dispositivo.
O malware geralmente recebe comandos por meio de conexões de rede para servidores de comando e controle. No entanto, muitas organizações monitoram o tráfego de rede para localizar comunicações maliciosas.
Por outro lado, os logs do servidor web são usados para armazenar solicitações de qualquer visitante em todo o mundo e raramente são monitorados por softwares de segurança, tornando-os um local interessante para armazenar comandos maliciosos, reduzindo as chances de serem detectados.
Isso é um pouco semelhante à técnica de ocultar malware nos logs de eventos do Windows, vista em maio de 2022, usada por agentes de ameaças para evitar a detecção.
Pesquisadores da Symantec que descobriram essa nova tática dizem que é a primeira vez que a observam na natureza.
Para um grupo de ciberespiões habilidosos como o Cranefly, anteriormente detectado pela Mandiant passando 18 meses em redes comprometidas, evitar a detecção é um fator crucial em suas campanhas maliciosas.
Novo trojan para novos truques
A Symantec descobriu um novo dropper usado pelo Cranefly, chamado "Trojan.Geppei", que instala o "Trojan.Danfuan", um malware anteriormente desconhecido.
Geppei lê comandos diretamente dos logs do IIS, procurando por strings especÃficas (Wrde, Exco, Cllo) que são então analisadas para extrair comandos e cargas úteis.
"As strings Wrde, Exco e Cllo normalmente não aparecem nos arquivos de log do IIS", explica o relatório da Symantec.
"Eles parecem ser usados para análise de solicitação HTTP maliciosa pelo Geppei; a presença dessas strings solicita que o dropper realize atividade em uma máquina."
Função primária de Geppei (Symantec)
Dependendo da string encontrada no log do IIS, o malware instalará malware adicional (string 'Wrde'), executará um comando (string 'Exco') ou descartará uma ferramenta que desabilita o log do IIS (string 'Cllo').
Por exemplo, se a solicitação HTTP contiver a string "Wrde", Geppei descarta um webshell ReGeorg ou uma ferramenta Danfuan não documentada anteriormente em uma pasta especificada.
ReGeorg é um malware documentado que Cranefly usa para proxy reverso, enquanto Danfuan é um malware recém-descoberto que pode receber código C# e compilá-lo dinamicamente na memória do host.
Se a solicitação contiver a string "Exco", o backdoor descriptografará e iniciará um comando do SO no servidor.
Finalmente, a string "Cllo" chama a função clear() que descarta uma ferramenta de hacking chamada "sckspy.exe", que desabilita o log de log de eventos no Service Control Manager.
A função limpar (Symantec)
O Cranefly usa essa técnica furtiva para manter uma posição nos servidores comprometidos e coletar informações silenciosamente.
Essa tática também ajuda a evitar o rastreamento por policiais e pesquisadores, pois os invasores podem enviar comandos por vários meios, como servidores proxy, VPNs, Tor ou IDEs de programação online.
Não se sabe por quanto tempo os agentes de ameaças podem ter abusado desse método em seus ataques ou quantos servidores foram comprometidos.
Embora muitos defensores provavelmente já estejam monitorando os logs do IIS em busca de sinais de shells da Web, essas rotinas podem precisar ser ajustadas para também procurar as strings de comando usadas nesta campanha.
Postar um comentário