0
0
O grupo de hackers Cranefly está usando a nova técnica de usar comandos do Internet Information Services (IIS) para entregar backdoors a alvos e realizar campanhas de coleta de inteligência.
Pesquisadores da Symantec observaram um Trojan dropper anteriormente não documentado chamado Geppei sendo usado para instalar backdoors (incluindo Danfuan e Regeorg) e outras ferramentas personalizadas em matrizes SAN, balanceadores de carga e controladores de ponto de acesso sem fio (WAP) que podem não ter ferramentas de segurança apropriadas, de acordo com para uma postagem no blog em 28 de outubro.
Ao examinar a atividade, a equipe notou que o Cranefly está usando os logs da ISS para se comunicar com o Geppei.
“A técnica de leitura de comandos de logs do IIS não é algo que os pesquisadores da Symantec viram sendo usados até hoje em ataques do mundo real, tornando-se uma novidade”, disse Brigid O Gorman, analista sênior de inteligência da equipe Threat Hunter da Symantec, ao Dark Reading. “É uma maneira inteligente de o invasor enviar comandos ao seu conta-gotas.”
Os registros do ISS registram dados, como páginas da Web visitadas e aplicativos usados. Os invasores do Cranefly estão enviando comandos para um servidor Web comprometido, disfarçando-os como solicitações de acesso à Web; O IIS os registra como tráfego normal, mas o dropper pode lê-los como comandos, se eles contiverem as strings Wrde, Exco ou Cllo, que normalmente não aparecem nos arquivos de log do IIS.
“Elas parecem ser usadas para análise de solicitações HTTP maliciosas pelo Geppei – a presença dessas strings leva o dropper a realizar atividade em uma máquina”, observa Gorman. “É uma maneira muito furtiva para os invasores enviarem esses comandos.”
Os comandos contêm arquivos .ashx codificados maliciosos, e esses arquivos são salvos em uma pasta arbitrária determinada pelo parâmetro de comando e são executados como backdoors (ou seja, ReGeorg ou Danfuan).
Gorman explica que a técnica de leitura de comandos dos logs do IIS poderia, em teoria, ser usada para fornecer diferentes tipos de malware se aproveitada por agentes de ameaças com objetivos diferentes.
“Neste caso, os invasores que a utilizam estão interessados em coletar informações e entregar backdoors, mas isso não significa que essa técnica não possa ser usada para entregar outros tipos de ameaças no futuro”, diz ela.
Nesse caso, até o momento, a equipe de ameaças da Symantec encontrou evidências de ataques contra apenas um punhado de vítimas.
“Isso não é incomum para grupos focados em espionagem , pois esses ataques tendem a se concentrar em um pequeno número de vítimas selecionadas”, explica Gorman.
Cranefly: uma ameaça de sofisticação razoável
Gorman explica que o desenvolvimento de malware personalizado e novas técnicas requer um certo nível de habilidades e recursos que nem todos os agentes de ameaças possuem.
“Isso implica que aqueles por trás do Cranefly têm um certo nível de habilidades que os tornam capazes de realizar ataques cibernéticos furtivos e inovadores”, diz ela, observando que a gangue também toma medidas para encobrir sua atividade nas máquinas das vítimas.
Os backdoors maliciosos descartados são removidos das máquinas vítimas se o comando Wrde for chamado com uma opção específica (“r”).
“Um passo como esse mostra um nível bastante alto de segurança operacional do grupo”, acrescenta ela.
Implantando uma estratégia de defesa aprofundada
Gorman diz que as regras típicas se aplicam à defesa contra o Cranefly como fazem quando se trata da maioria dos tipos de ataques cibernéticos: as organizações devem adotar uma estratégia de defesa em profundidade , usando várias tecnologias de detecção, proteção e proteção para mitigar o risco em cada ponto de uma potencial cadeia de ataque.
“As organizações também devem estar cientes e monitorar o uso de ferramentas de uso duplo dentro de sua rede”, diz ela, observando que a Symantec também aconselha a implementação de auditoria e controle adequados do uso de contas administrativas.
“Também sugerimos a criação de perfis de uso para ferramentas administrativas, pois muitas dessas ferramentas são usadas por invasores para se moverem lateralmente sem serem detectados por uma rede”, diz ela. “Em geral, a autenticação multifator (MFA) pode ajudar a limitar a utilidade das credenciais comprometidas.”
FONTE: DARK READING