Posté le octobre 29, 2022 à 9:41

DES HACKERS EXPLOITENT LES JOURNAUX DU SERVEUR WEB IIS DE MICROSOFT POUR LANCER UN LOGICIEL MALVEILLANT DE CONTRÔLE

Le groupe de hackers Cranefly, également connu sous le nom de UNC3524, utilise une technique de logiciel malveillant de contrôle. Cette technique, qui n’a jamais été vue auparavant, est utilisée pour déployer des logiciels malveillants sur des appareils infectés par le biais des journaux des serveurs Web de Microsoft Internet Information Services (IIS).

Les hackers utilisent la technique du logiciel malveillant de contrôle

L’Internet Information Services (IIS) de Microsoft est un serveur web qui permet l’hébergement de sites web et d’applications web. Le serveur web IIS est également utilisé par d’autres logiciels, tels que Outlook on the Web (OWA), pour Microsoft Exchange, pour héberger des applications de gestion et des interfaces web.

Comme dans tout serveur web, lorsqu’un utilisateur distant obtient l’accès à une page web, l’IIS enregistre la demande dans des fichiers journaux contenant notamment l’horodatage, les adresses IP de la source, les codes d’état HTTP et l’URL demandée.

Les journaux du serveur web sont principalement utilisés pour l’analyse et le dépannage. Selon un rapport publié récemment par Symantec, le groupe de hackers a utilisé une nouvelle technique consistant à déployer les journaux IIS pour envoyer des commandes à des logiciels malveillants installés sur un appareil.

Les logiciels malveillants sont l’un des outils les plus couramment utilisés par les hackers. Les hackers déploient des logiciels malveillants pour recevoir des commandes via les connexions réseau aux serveurs de commande et de contrôle. Cependant, plusieurs organisations déploient des outils pour suivre le trafic réseau et détecter toute communication malveillante que les acteurs de la menace pourraient initier.

Les journaux des serveurs Web sont utilisés pour stocker les demandes de tous les visiteurs de sites Web du monde entier. Ces journaux ne sont pas fréquemment contrôlés par les logiciels de sécurité. Par conséquent, les journaux sont l’endroit idéal pour les hackers pour conserver des commandes malveillantes tout en réduisant les chances que l’attaque soit identifiée par l’organisation.

Il s’agit de la même technique que celle utilisée pour dissimuler des logiciels malveillants dans les journaux d’événements Windows, détectée en mai de cette année. Cette technique est utilisée par les acteurs de menaces qui veulent opérer de manière furtive tout en évitant la détection.

Les chercheurs de Symantec qui ont découvert cette nouvelle tactique ont déclaré que c’était la première fois qu’ils la voyaient utilisée par des acteurs malveillants. Cependant, les acteurs de la menace qui veulent rester cachés continuent de trouver de nouveaux moyens d’éviter la détection.

Certains des plus grands groupes de cyberespions, comme Cranefly, ont déjà été détectés par Mandiant après être restés cachés pendant 18 mois dans les réseaux concernés. Les hackers concentrent principalement leurs opérations sur les moyens d’éviter d’être détectés.

Augmentation des tactiques de logiciels malveillants de type trojan

Les chercheurs de Symantec ont également détecté un nouveau dropper déployé par le groupe de cyberespions Cranefly. Le dropper est connu sous le nom de « Trojan.Geppei » qui installe « Trojan.Danfuan », un logiciel malveillant qui n’était pas connu auparavant.

Geppei lit les commandes directement à partir des journaux IIS en recherchant des chaînes spécifiques analysées par la suite pour accéder aux charges utiles et aux commandes. Cependant, les fichiers journaux IIS ne contiennent normalement pas Wrde, Exco et Cllo.

Dans le rapport, les chercheurs ont déclaré que « celles-ci semblent être utilisées pour l’analyse des requêtes HTTP malveillantes par Geppei ; la présence de ces chaînes incite le dropper à exercer une activité sur une machine. »

En fonction de la chaîne détectée dans le journal IIS, le logiciel malveillant installera d’autres logiciels malveillants, exécutera des commandes et déposera un outil qui désactivera la journalisation IIS. Par exemple, si la requête HTTP contient la chaîne « Wrde », Geppei déploiera un webshell ReGeorg ou un outil Danfuan qui n’a pas été documenté auparavant.

Le logiciel malveillant ReGeorg a déjà été documenté. L’acteur de la menace Cranefly utilise ce logiciel malveillant pour effectuer du reverse proxy. D’autre part, Danfuan est un nouveau logiciel malveillant qui reçoit du code C# et rassemble le code sur la mémoire de l’hôte.

Si une demande est faite avec la chaîne « Exco », elle décryptera la porte dérobée et lancera une commande OS vers le serveur. La chaîne « Cllo » appellera ensuite la fonction « clear » qui déposera un outil de piratage connu sous le nom de « sckspy.exe » qui désactivera la journalisation des événements dans le Service Control Manager.

Le groupe de hackers Cranefly utilise cette technique pour maintenir son emprise sur les serveurs affectés tout en recueillant silencieusement des renseignements. Cette tactique est également utile pour mettre les forces de l’ordre et les chercheurs sur une fausse piste. L’attaquant déploie les commandes en utilisant plusieurs moyens, comme les VPN, les serveurs proxy, Tor ou les IDE de programmation en ligne.

On ne sait pas quand les acteurs de la menace ont commencé à se servir de cette méthode pour lancer des attaques. Cependant, la plupart des défenseurs surveillent probablement les journaux IIS à la recherche de shells web. Les routines pourraient être modifiées pour rechercher les chaînes de commande utilisées pour la campagne.