Cranefly在攻击活动中使用新的通信技术

Broadcom 软件公司赛门铁克的一份新出版物揭示了 Cranefly 威胁参与者在正在进行的攻击活动中与其恶意软件通信所使用的一种新方法的详细信息。

Geppei 恶意软件从 IIS 日志文件中接收命令

赛门铁克之前未报告的名为 Trojan.Geppei 的 dropper 已在攻击活动的多个受害者身上观察到。该恶意软件使用 PyInstaller，这是一种将 Python 代码编译为可执行文件的已知工具。

Geppei 恶意软件与其控制器通信的方式是全新的：它使用 Internet Information Services Web 服务器日志文件。当恶意软件在 IIS 日志文件中发现特定字符串（例如“Wrde”、“Exco”或“Cllo”）时，它就会激活。这些字符串在常规 IIS 日志中不存在。因此，任何 IIS 日志文件中存在此类字符串都是使用 Geppei 恶意软件进行攻击的有力指标。

攻击者可以通过使用虚拟 URL 甚至不存在的 URL 将命令注入 IIS 日志文件，因为 IIS 默认记录 404 错误。“Wrde”字符串在请求中激活解密算法：

GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]

提取如下所示的字符串：

w+1+C:\\inetpub\\wwwroot\\test\\backdoor.ashx

然后将 .ashx 文件保存到该位置并触发。它用作访问受感染系统的后门。

如果 Geppei 恶意软件解析 IIS 日志文件中的“Exco”字符串，它会解密作为参数传递的字符串：

GET [dummy string]Exco[passed string to exco()]Exco[dummy string]

该字符串将通过 os.system() 函数作为命令执行。字符串“Exco”可能是“execute command”的缩写。

触发 Geppei 恶意软件的最后一个字符串是“Cllo”。它调用一个 clear() 函数来删除一个名为 sckspy.exe 的黑客工具。该工具禁用服务控制管理器的事件日志记录。该函数还尝试删除 IIS 日志文件中包含命令或恶意 .ashx 文件路径的所有行。

研究人员提到，该功能不会检查日志文件的所有行，导致清理不完整。如果使用“r”选项调用 wrde()，则删除的恶意 .ashx 文件将被删除。

更多工具

到目前为止，赛门铁克只看到了两种不同类型的“Wrde”功能安装的后门。

第一个被检测为“Hacktool.Regeorg”，这是一种已知的恶意软件。它由一个能够创建 SOCKS 代理的 Web shell 组成。研究人员已经看到使用了两种不同版本的 Regeorg。

第二个被命名为“Trojan.Danfuan”。据研究人员称，这是一种以前从未见过的恶意软件，一种动态代码编译器，可以编译和执行收到的 C# 代码。它基于.NET动态编译技术，不在硬盘上创建，而是在内存中创建。该恶意软件的目的是充当后门。

Geppei 使用的 sckspy.exe 工具也是以前未记录的工具。

Cranefly 公开的另一个别名：UNC3524。研究人员将这个威胁行为者暴露为针对专注于企业发展、并购和大型企业交易的员工的电子邮件的攻击者。

报告还提到了 Regeorg 工具的使用。该工具是公开的，但攻击者使用了一个鲜为人知的 web shell 版本，经过严重混淆以绕过检测。该版本也被报告为威胁参与者 APT28 使用的版本。

可以肯定的是，Cranefly 将大写字母 A 置于高级持续威胁中。他们通过在不使用安全工具（如负载平衡器、无线接入点控制器或 NAS 阵列）运行的不常见设备上安装后门，展示了保持低调的专业知识。他们似乎还使用专有恶意软件，这是结构化高效威胁行为者的另一个迹象，并且他们以长时间驻留而闻名，在受害者网络上花费至少 18 个月，并立即重新损害检测到它们的公司。

如何检测此威胁

如前所述，任何出现在 IIS 日志文件中的“Wrde”、“Exco”或“Cllo”字符串都应该受到高度怀疑和调查，因为它可能揭示 Geppei 感染。还应仔细检查和调查来自未知 IP 地址的出站流量。

研究人员还提到了威胁参与者使用的另一种名为“QUIETEXIT”的恶意软件的使用，该恶意软件基于开源 Dropbear SSH 客户端-服务器软件。因此，通过端口 22 以外的端口搜索 SSH 流量也可能有助于检测 Cranefly 活动。

正如报告的那样，通过搜索特定字符串也可以在主机上发现 QUIETEXIT。他们还提供了以下两个 grep 命令来帮助检测 QUIETEXIT：

grep “\x48\x8b\x3c\xd3\x4c\x89\xe1\xf2\xae” -rs /

grep '\xDD\xE5\xD5\x97\x20\x53\x27\xBF\xF0\xA2\xBA\xCD\x96\x35\x9A\xAD\x1C\x75\xEB\x47' -rs /

最后，查看设备 rc.local 文件夹中的命令行参数可能有助于检测 Cranefly 活动：

grep -e” -[Xx] -p [[:digit:]{2,6}]” -rs /etc

建议所有固件、操作系统和软件都应始终保持最新并打补丁，以避免陷入常见漏洞。需要在主机上部署安全解决方案，并应尽可能使用多因素身份验证。