Haberler

Saldırganlar, IIS Sunucuları Ele Geçirmek İçin Logları Kullanmaya Başladı

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 28/10/2022
0 1 dakika okuma süresi

Cranefly hack grubunun diğer adıyla UNC3524, Microsoft Internet Information Services (IIS) web sunucusu log’larını kullanarak zararlı bulaşmış cihazları uzaktan kontrol edebilen yeni bir teknik kullanmaya başladıkları ortaya çıktı.

Symantec tarafından hazırlanan yeni bir rapor, bilgisayar korsanlığı grubunun, cihazda yüklü backdoor yazılımlarına komut göndermek için IIS loglarını kullandılarını ortaya çıkardı. Öte yandan, web sunucusu logları dünya çapındaki herhangi bir ziyaretçiden gelen istekleri depolamak için kullanılıyor ve nadiren güvenlik yazılımı tarafından izlenmekte bu da onları kötü amaçlı komutları depolamak için harika bir konum haline getirirken tespit edilme şansını azaltır. Bu yüzden SIEM veya diğer log ürünleri ile IIS loglarını doğru almak ve incelemek hayati önem taşıyor.

Symantec, Cranefly tarafından kullanılan ve önceden bilinmeyen bir kötü amaçlı yazılım olan “Trojan.Danfuan”ı yükleyen “Trojan.Geppei” adlı yeni bir dropper keşfetti. Geppei, komutları ve payload’ları çıkarmak için belirli dizeleri (Wrde, Exco, Cllo) arayarak doğrudan IIS log’larında komutları okuyabiliyor. Symantec’in raporu “Wrde, Exco ve Cllo dizeleri normalde IIS günlük dosyalarında görünmüyor.

IIS loglarında bulunan dizeye bağlı olarak, kötü amaçlı yazılım yeni kötü amaçlı yazılımları yüklüyor (‘Wrde’ dizesi) ve bir komut yürütüyor (‘Exco’ dizesi) veya IIS log’ları devre dışı bırakan bir araç bırakıyor (‘Cllo’ dizesi).

Örneğin, HTTP isteği “Wrde” dizesini içeriyorsa, Geppei bir ReGeorg web shell veya Danfuan aracını belirtilen bir klasöre kopyalıyor. ReGeorg, Cranefly’nin reverse proxy için kullandığı kötü amaçlı yazılım iken Danfuan, C# kodunu alabilen ve ana bilgisayarın belleğinde dinamik olarak derleyebilen yeni keşfedilen bir kötü amaçlı yazılım.

İstek “Exco” dizesini içeriyorsa, backdoor şifresini çözüyor ve sunucuda komutu başlatıyor. Son olarak, “Cllo” dizesi, Service Control Manager’da olay günlüğünü devre dışı bırakan “sckspy.exe” adlı aracını bırakan clear() işlevini çağırıyor.

Cranefly, bu gizli tekniği zafiyetler ve yeterince güvenliği sağlanmamış sunuculardan istihbarat toplamak için kullanıyor.

Kaynak: bleepingcomputer.com

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 28/10/2022
0 1 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

Brocade SAN İçin Güncelleme Vakti

27/04/2024

Microsoft, Teams 2.0 Geçiş Süresini Bir Yıl Uzattı: Yeni Son Tarih 1 Temmuz 2025 Oldu

26/04/2024

MS-DOS 4.0’un Kaynak Kodu GitHub’da Yayınlandı

26/04/2024

Cisco Kullanıcıları Dikkat! Zero-Day Zafiyeti Kullanılmaya Başlandı

25/04/2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu