Hackers use Microsoft IIS web server logs to control malware
2022/10/28 BleepingComputer — Microsoft Internet Information Services (IIS) の Web サーバのログを経由して、感染端末のマルウェアを制御するという、これまでにはなかった手法を、ハッキング・グループ Cranefly (UNC3524) が採用しているという。Microsoft IIS は Web サーバであり、Web サイトや Web アプリをホストするために使用されている。また、Microsoft Exchange の Outlook on the Web (OWA) などのソフトウェアでも、管理アプリや Web インターフェイスをホストするために使用されている。
他の Web サーバと同様に IIS は、リモートユーザーが Web ページにアクセスすると、タイムスタンプ/送信元 IP アドレス/要求された URL/HTTP ステータスコードなどをログ・ファイルに記録していく。
これらのログは、一般的には、トラブル・シューティングや分析に使用される。しかし、Symantec の新しいレポートによると、IIS のログを利用して、デバイスにインストールされたバックドア・マルウェアにコマンドを送信するという斬新な手法を、このハッカー・グループが採用していることが明らかになった。
一般的にマルウェアは、ネットワーク接続を通じて、Command and Control (C2) サーバからコマンドを受信する。その一方で、多くの組織は、悪意の通信を発見するために、ネットワーク・トラフィックを監視している。
Web サーバのログは、あらゆるビジターからのリクエストを保存するために使用され、セキュリティ・ソフトウェアによる監視の対象になるのは稀である。したがって、そこに悪意のコマンドを保存することで、悪意のアクティビティが検出される可能性を低く抑えることが可能となる。
このような考え方は、Windows イベントログにマルウェアを隠し、脅威アクターが検知を逃れるという、2022年5月に見られた手法と、やや類似している。この新しい戦術を発見した Symantec の研究者たちによると、野放し状態での悪用を観察したのは初めてのことになる。
以前に Mandiant が、Cranefly のような巧妙なサイバースパイ・グループが、侵害したネットワーク上に 18ヶ月間も滞在したことを発見しているが、検知を回避することは悪意のキャンペーンにおいて重要な要素である。
新しいトロイの木馬のための新しい手口
Symantec が発見したのは、Cranefly が使用する Trojan.Geppei という名の新種ドロッパーである。そして、未知のマルウェアである Trojan.Danfuan をインストールすることが判明した。
Geppei は、IIS ログからダイレクトにコマンドを読み取り、特定の文字列 (Wrde/Exco/Cllo) を探し出し、それらを解析することでコマンドとペイロードを抽出する。Symantec のレポートには、「Wrde/Exco/Cllo という文字列は、通常 IIS のログ・ファイルには現れない。これらの文字列は、Geppei による悪意の HTTP リクエストの解析に使用されているようであり、マシン上でのアクティビティを実行するようドロッパーを促す」と記されている。
このマルウェアは、IIS ログで見つかった文字列に応じて、追加マルウェアのインストール (Wrde)、コマンドの実行 (Exco) 、II Sログを無効にするツールのドロップ (Cllo) などのアクティビティを処理する。
たとえば、HTTP リクエストに Wrde 文字列が含まれている場合には、ReGeorg Web シェルや、新種の Danfuan ツールなどを、Geppei は指定されたフォルダにドロップする。ReGeorg は、Cranefly がリバース・プロキシに使用する既知のマルウェアであり、Danfuan は、C# コードを受信してホストのメモリ上で動的にコンパイルする未知のマルウェアである。
リクエストに Exco という文字列が含まれていると、それをバックドアは解読し、サーバ上で OS コマンドを起動する。最後に、Cllo 文字列は clear() 関数を呼び出し、sckspy.exe というツールをドロップし、Service Control Manager のイベントログを無効化する。
Cranefly は、このステルス・テクノロジーを悪用することで、侵入したサーバを足場にして、静かに情報収集を行っている。また、この攻撃者は、プロキシサーバ/VPN/Tor/オンライン・プログラミング IDE など、さまざまな手段でコマンドを配信できるため、この戦術は法執行機関や研究者による追跡を回避するためにも有効である。
この攻撃者が、IIS を悪用し始めた時期や、侵害したサーバの詳細などは不明である。多くの防御者は、すでに IIS ログを監視して、Web シェルの兆候を確認していると思われるが、今回のキャンペーンで使用されたコマンド文字列を検索するために、それらのルーチンを調整する必要があるかもしれない。
Microsoft IIS の Web サーバのログを経由して、感染させた端末上のマルウェアを制御する、Cranefly (UNC3524) というハッキング・グループが登場したようです。文中の「Web サーバのログは、あらゆるビジターからのリクエストを保存するために使用され、セキュリティ・ソフトウェアによる監視の対象になるのは稀である。したがって、そこに悪意のコマンドを保存することで、悪意のアクティビティが検出される可能性を低く抑えることが可能となる」というくだりが、訳していて印象に残りました。なお、Microsoft IIS に関しては、7月1日の「SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用」と、7月26日の「Microsoft 警告:IIS エクステンションを悪用する Exchange バックドアが増えている」という記事がありました。
IoT OT Security News 
You must be logged in to post a comment.