Log di Microsoft IIS usati per distribuire malware

Log di Microsoft IIS usati per distribuire malware

Il gruppo Cranefly sfrutta i log dei server Microsoft IIS per nascondere comandi che vengono successivamente letti ed eseguiti dal dropper Geppei.
Il gruppo Cranefly sfrutta i log dei server Microsoft IIS per nascondere comandi che vengono successivamente letti ed eseguiti dal dropper Geppei.

I ricercatori di Symantec hanno scoperto una nuova tecnica utilizzata dal gruppo Cranefly per distribuire e controllare il dropper Geppei e altri malware. I cybercriminali inviano richieste di accesso ai server con Microsoft Internet Information Services (IIS) per scrivere specifici comandi nei log IIS, successivamente letti ed eseguiti dal dropper.

Trucco molto ingegnoso

L’attacco contro i server IIS prevede l’invio di comandi nascosti in normali richieste di accesso. Il server memorizza questi comandi nei log, come avviene normalmente. I comandi contengono file .ashx, all’interno dei quali ci sono le stringhe Wrde, Exco e Cllo, interpretate dal dropper Geppei.

Se la successiva richiesta HTTP contiene la stringa Wrde, Geppei scarica e installa la web shell ReGeorg e il trojan Danfuan. Se la richiesta HTTP contiene la stringa Exco, il dropper esegue comandi sul server compromsso. Infine, se la richiesta HTTP contiene la stringa Cllo, Geppei scarica il tool sckspy.exe che disattiva il logging del Service Control Manager.

È presente anche una funzione che rimuove dai log IIS le linee contenenti i comandi e i percorsi dei file .ashx. Il gruppo Cranefly utilizza questa tecnica per nascondere le tracce ai tool che monitorano le attività sui server. Geppei è gli altri malware vengono fortunatamente rilevati e bloccati dalle soluzioni di sicurezza, tra cui Norton 360 Premium.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Symantec
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 30 ott 2022
Link copiato negli appunti