Es überrascht nicht, dass Cyberkriminelle zunehmend auf Schwachstellen in weit verbreiteten Technologien abzielen. Hackern genügt es, wenige eigene Anweisungen zu formulieren die Microsofts Internet Auskunft Services (IIS) als unbedenklich erachtet. Diese werden als HTTP-Anfragen erfasst.
Manipulation der IIS-Protokolle durch Cranefly
Eine Hackergruppierung namens Cranefly hat entdeckt, dass sie mithilfe der Protokolle von Microsofts IIS eine spezifische Malware steuern kann. Sie setzen einen bis dato unentdeckten Dropper ein der vermeintlich harmlose Anweisungen aus den IIS-Protokollen liest und folglich in der Lage ist, verschiedene Backdoors auf dem angegriffenen System zu installieren.
Die als “Cranefly” oder ebenfalls “UNC3524” bekannte Gruppe verwendete mindestens zwei unterschiedliche Backdoors die über den Dropper in die angezielten Systeme gelangen. Erstmals wurde Cranefly in einem Report von Mandiant im Mai 2022 spricht darüber. Damals stürzten sie sich auf Email-Korrespondenz im Zusammenhang mit großen Unternehmensfusionen und Übernahmen.
Dropper analysiert und verwendet IIS-Protokolle
In ihrem Bericht erklären Sicherheitsforscher von Symantec, dass der für Cranefly tätige Dropper, bekannt als “Trojan.Geppei” die Protokolldateien von Microsofts Webserver durchforstet. Beziehungsweise erzeugen die Angreifer durch spezielle Anfragen an Web-Ressourcen bestimmte Zeichenfolgen die dann in das Protokoll übernommen werden. Der Dropper liest und interpretiert diese.
Die Forscher entdeckten inkl․ der Zeichenfolgen “Wrde”, “Exco” und “Cllo” die in IIS-Protokollen in der Vorschrift nicht anzutreffen sind. Diese Zeichen sind für den Webserver nichts weiter als bedeutungslose Textfragmente. Dennoch initiiert Geppei daher schädliche Aktivitäten auf dem kompromittierten System. Die Cyberkriminellen können sogar nicht existierende Adressen nutzen. Der IIS dokumentiert auch HTTP-Anfragen mit Fehlercode 404.
Ein Exempel für solche Anfragen könnte lauten:
GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]
Die übermittelten Zeichenfolgen sind verschlüsselt. Nach der Entschlüsselung zeigt sich zum Beispiel folgendes:
w+1+C:\inetpub\wwwroot\test\backdoor.ashx
An diesem Speicherort wird eine gefährliche Backdoor abgelegt. Die Anweisungen “Exco” und “Cllo” verfügen über ähnliche Funktionsweisen, dennoch führen sie unterschiedliche Aufgaben aus.
Erfahrene Hacker mit vielfältigen Methoden
Eine der durch Cranefly über die IIS-Protokolle eingeführten Backdoors trägt den Namen “Hacktool.Regeorg”. Diese Malware wird auch von anderen Hackergruppen nutzt und ist im Quellcode auf GitHub verfügbar. Sie fungiert als Web-Shell und kann einen SOCKS-Proxy einrichten. Der zweite identifizierte Dropper “Trojan.Danfuan” ist ein DynamicCodeCompiler, dessen Aufgabe es besteht, empfangenen C#
-Code zu kompilieren und auszuführen.
Anhand der ausgeklügelten Methoden gleichermaßen der neuartigen Technik vermuten Symantec-Forscher. Dass Cranefly über ein gewisses Maß an Erfahrung verfügt. Es gibt zwar keine offensichtlichen Hinweise darauf, dass die Täter faktisch Daten von IIS-Servern extrahieren jedoch nehmen die Experten an dass Informationssammlung für die Hacker von maßgeblicher Bedeutung ist.
Bereits vor kurzem berichteten wir über einen Vorfall, bei dem Angreifer an eine Backdoor kamen, indem sie ein Bild mit dem Windows-Logo verwendet haben. Auch in diesem Fall brachte das Sicherheitsteam von Symantec Klarheit.
Kommentare