IISのログからコマンドを読み取るTrojan.Geppei

ほぼこもセキュリティニュース By Terilogy Worx

Trojan.Geppeiは新しいマルウェアです。
タイプはドロッパーです。
悪意のあるものを活動場所に持ち込みます。

  • 攻撃者からの命令はIISのログに書いてある
    IISはWindowsで動作するWebサーバです。
    通常WebサーバはWebサービスを行った際に、どのようなコンテンツが利用されたのかなどをログに記録します。
    ログは運用者がWebサーバの活動実績を把握するために使用されます。
    これは通常の話です。
    そこに別の意味を持ち込んだマルウェアが出てきました。
    Trojan.GeppeiはIISのログを読み取り、命令の含まれる行を処理して活動します。
    命令は3種確認されています。

     

  • 「Wrde」命令
    これは命令行を復号化して別のマルウェアを取り出し侵害環境に保存します。
    命令行は、IISログの中にあります。
    文字列「Wrde」で挟み込まれたGETログが命令行です。
    持ち込まれるマルウェアは、Hacktool.RegeorgやTrojan.Danfuanです。
    ReGeorgは既知のマルウェアでSOCKSプロキシを作成できるWebシェルです。
    Danfuanは新種のマルウェアでC#コードをコンパイルして実行するDynamicCodeCompilerです。

     

  • 「Exco」命令
    これは命令行を復号化してOSコマンドを取り出します。
    命令行は、IISログの中にあります。
    文字列「Exco」で挟み込まれたGETログが命令行です。
    取り出されたOSコマンドは侵害環境で実行されます。

     

  • 「Cllo」命令
    これは命令行を復号化して隠ぺい行為を実施します。
    命令行は、IISログの中にあります。
    文字列「Cllo」で挟み込まれたGETログが命令行です。
    イベントログ機能を無効化する狙いのsckspy.exeを持ち込み動作させます。
    Wrde命令で持ち込んだマルウェアを削除する機能も用意されています。

いろいろな手法で攻撃者は命令を現地に届けようとします。
今回確認されているIISのログを命令の伝達に使用するという手法はこれまでは確認されていないものでした。
通常サーバなどの環境では重要ファイルのアクセス権を管理し安全な状態を維持しようとします。
しかしこれまではWebサーバのログはそういった活動の範囲外と考えられていました。

この例では外部から好きなことを書き込むことができる物としてWebサーバのログが使用されてしまったというものでした。
使えるものは何でも使う、ということでしょうか。

参考記事(外部リンク):Cranefly: Threat Actor Uses Previously Unseen Techniques and
Tools in Stealthy Campaign

symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cranefly-new-tools-technique-geppei-danfuan