Hacking grubu Cranefly, hedeflere arka kapı sağlamak ve istihbarat toplama kampanyaları yürütmek için İnternet Bilgi Servisleri (IIS) komutlarını kullanmanın yeni tekniğini kullanıyor.
Symantec’teki araştırmacılar, arka kapıları (Danfuan ve Regeorg dahil) ve SAN dizilerine, yük dengeleyicilere ve uygun güvenlik araçlarından yoksun olabilecek kablosuz erişim noktası (WAP) denetleyicilerine diğer özel araçları yüklemek için kullanılan Geppei adlı daha önce belgelenmemiş bir Dropper Trojan’ı gözlemlediler. bir Blog yazısı 28 Ekim’de.
Ekip, etkinliği incelerken Cranefly’nin Geppei ile iletişim kurmak için ISS günlüklerini kullandığını fark etti.
Symantec’in Threat Hunter ekibinde kıdemli istihbarat analisti Brigid O Gorman, Dark Reading’e “IIS günlüklerinden komut okuma tekniği, Symantec araştırmacılarının bugüne kadar gerçek dünya saldırılarında kullanıldığını gördükleri bir şey değil, bu da onu yeni kılıyor” diyor. “Saldırganın dropper’ına komut göndermesi için akıllıca bir yol.”
ISS, ziyaret edilen web sayfaları ve kullanılan uygulamalar gibi verileri kaydeder. Cranefly saldırganları, güvenliği ihlal edilmiş bir Web sunucusuna, bunları Web erişim istekleri olarak gizleyerek komutlar gönderiyor; IIS bunları normal trafik olarak günlüğe kaydeder, ancak normalde IIS günlük dosyalarında görünmeyen Wrde, Exco veya Cllo dizelerini içeriyorsa, dropper bunları komut olarak okuyabilir.
Gorman, “Bunlar, Geppei tarafından kötü amaçlı HTTP isteği ayrıştırma için kullanılıyor gibi görünüyor – bu dizelerin varlığı, damlatıcının bir makinede etkinlik gerçekleştirmesini ister” diyor. “Saldırganların bu komutları göndermesi için çok gizli bir yol.”
Komutlar, kötü amaçlı kodlanmış .ashx dosyaları içerir ve bu dosyalar, komut parametresi tarafından belirlenen rastgele bir klasöre kaydedilir ve arka kapılar olarak çalışırlar (örneğin, ReGeorg veya Danfuan).
Gorman, IIS günlüklerinden komut okuma tekniğinin, farklı hedeflere sahip tehdit aktörleri tarafından kullanılması durumunda, teoride farklı türde kötü amaçlı yazılımlar sunmak için kullanılabileceğini açıklıyor.
“Bu örnekte, bundan yararlanan saldırganlar istihbarat toplamak ve arka kapı teslim etmekle ilgileniyorlar, ancak bu, bu tekniğin gelecekte başka tür tehditler iletmek için kullanılamayacağı anlamına gelmiyor” diyor.
Bu durumda, Symantec tehdit ekibi bugüne kadar sadece bir avuç kurbana yönelik saldırılara dair kanıtlar buldu.
Gorman, “Bu saldırılar, az sayıda seçilmiş kurbana odaklanma eğiliminde olduğundan, casusluğa odaklanan gruplar için alışılmadık bir durum değil” diye açıklıyor.
Cranefly: Makul bir Gelişmişlik Tehdidi
Gorman, özel kötü amaçlı yazılımların ve yeni tekniklerin geliştirilmesinin, tüm tehdit aktörlerinin sahip olmadığı belirli düzeyde beceri ve kaynaklar gerektirdiğini açıklıyor.
“Cranefly’nin arkasındakilerin, onları gizli ve yenilikçi siber saldırılar gerçekleştirebilmelerini sağlayan belirli bir beceri düzeyine sahip olduklarını ima ediyor” diyor ve çetenin kurban makinelerdeki faaliyetlerini gizlemek için adımlar attığını da belirtiyor.
Wrde komutu belirli bir seçenek (“r”) ile çağrılırsa, bırakılan kötü amaçlı arka kapılar kurban makinelerden kaldırılır.
“Böyle bir adım, grup tarafından oldukça yüksek düzeyde bir operasyonel güvenlik sergiliyor” diye ekliyor.
Derinlemesine Savunma Stratejisi Uygulamak
Gorman, tipik kuralların çoğu siber saldırı türü söz konusu olduğunda olduğu gibi Cranefly’a karşı savunma için de geçerli olduğunu söylüyor: Kuruluşlar, her noktada riski azaltmak için çoklu algılama, koruma ve güçlendirme teknolojileri kullanarak derinlemesine bir savunma stratejisi benimsemelidir. potansiyel bir saldırı zinciri.
“Kuruluşlar ayrıca ağlarında çift kullanımlı araçların kullanımının farkında olmalı ve bunları izlemelidir,” diyor ve Symantec’in idari hesap kullanımının uygun şekilde denetlenmesini ve kontrol edilmesini tavsiye edeceğini belirtiyor.
“Ayrıca, bu araçların birçoğu saldırganlar tarafından bir ağ üzerinden yanal olarak algılanmadan hareket etmek için kullanıldığından, yönetici araçları için kullanım profilleri oluşturmanızı öneririz” diyor. “Genel olarak, çok faktörlü kimlik doğrulama (MFA), güvenliği ihlal edilmiş kimlik bilgilerinin kullanışlılığını sınırlamaya yardımcı olabilir.”