Ein Hacker kommuniziert gerade über IIS-Protokolle mit seinem Dropper (Symbolbild)
Ein Hacker kommuniziert gerade über IIS-Protokolle mit seinem Dropper (Symbolbild)
Bildquelle: BrianAJackson, Lizenz

IIS: Über Microsofts Webserver eine Malware einschleusen? Geht!

Dafür nutzten Hacker lediglich ein paar eigene Befehle, die Microsofts IIS nicht kennt und die durch HTTP-Anfragen im Protokoll landen.

Die Hackergruppe Cranefly missbraucht die Protokolle von Microsofts Internet Information Services (IIS), um Befehle an einen Dropper zu senden und darüber weitere Backdoors in das System einzuschleusen. Da es sich für den Webserver lediglich um harmlose Strings handelt, protokolliert dieser die in HTTP-Anfragen versteckten Kommandos ohne jeglichen Verdacht. Die raffinierte Vorgehensweise der Hacker lässt vermuten, dass sie mehr als nur ahnungslose Skript-Kiddies sind.

Cranefly nutzt IIS-Protokolle um mit einer Malware zu kommunizieren

Sicherheitsforscher von Symantec haben eine neuartige Methode identifiziert, mit der Angreifer mithilfe von IIS-Protokollen eine Malware steuern. Dabei kam ein bisher nicht dokumentierter Dropper zum Einsatz, der scheinbar harmlose Befehle aus den Protokollen von Microsofts IIS ausliest und infolgedessen Backdoors und andere Tools installiert.

Die als „Cranefly“ oder auch „UNC3524“ bezeichneten Hacker setzten dabei mindestens zwei Backdoors ein, die ihren Weg über den genannten Dropper auf betroffene Systeme fanden. Erstmals tauchte die Hackergruppe im Mai 2022 in einem Bericht von Mandiant auf. Damals hatte sie es noch auf E-Mails abgesehen, die mit großen Unternehmenstransaktionen wie Fusionen und Übernahmen in Verbindung standen.

IIS-Protokolle übermitteln Befehle an einen Dropper

Wie die Sicherheitsforscher von Symantec in ihrem Bericht dokumentierten, liest der von Cranefly eingesetzte Dropper mit der Bezeichnung „Trojan.Geppei“ Befehle aus den Protokollen von Microsofts Webserver IIS. Durch einfache Zugriffsanfragen auf Web-Ressourcen bringen die Angreifer den Server dazu, bestimmte Zeichenfolgen ins Protokoll zu übernehmen. Diese kann der Dropper anschließend auslesen und interpretieren.

Die Forscher identifizierten mitunter die Zeichenfolgen „Wrde„, „Exco“ und „Cllo„, die normalerweise nicht in IIS-Protokollen auftauchen. Sie stellen für den Webserver nur bedeutungslose Textbausteine dar. Doch Geppei führt darauf basierend Aktivitäten auf dem infiltrierten System aus. Für die Anfragen an den Server konnte Cranefly sogar nicht existierende URLs einsetzen, da der IIS standardmäßig auch HTTP-Anfragen mit Fehlercode 404 protokolliert.

Diese können beispielsweise folgendermaßen aussehen:

GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]

Übergebene Strings liegen in verschlüsselter Form vor. Nachdem der Dropper diese entschlüsselt hat, sehen sie in etwa wie folgt aus:

w+1+C:inetpubwwwroottestbackdoor.ashx

Damit wird eine neue schadhafte Backdoor unter dem angegebenen Pfad abgelegt. Die Befehle „Exco“ und „Cllo“ arbeiten identisch, haben aber ihrerseits unterschiedliche Aufgaben.

Cranefly scheint nicht unerfahren zu sein

Eine der von Cranefly über die IIS-Protokolle eingeschleusten Backdoors ist „Hacktool.Regeorg„, die auch andere Hackergruppen bereits erfolgreich einsetzten. Der Code dieser Malware ist öffentlich auf GitHub zugänglich. Es handelt sich dabei um eine Web-Shell, die einen SOCKS-Proxy erstellen kann. Die zweite identifizierte Backdoor „Trojan.Danfuan“ ist ein DynamicCodeCompiler, der empfangenen C#-Code kompiliert und ausführt.

Aufgrund der raffinierten Vorgehensweise und der neuartigen Technik vermuten die Sicherheitsforscher von Symantec, dass es sich bei Cranefly um eine recht erfahrene Hackergruppe handelt. Obwohl die Forscher keine Anhaltspunkte dafür fanden, dass die Angreifer tatsächlich Daten von IIS-Servern exfiltrierten, nehmen sie an, dass das Sammeln von Informationen wahrscheinlich die Hauptmotivation der Hacker ist.

Erst vor einem Monat berichteten wir über eine Backdoor, die Angreifer über ein Bild mit einem Windows-Logo auf Zielsystemen einschleusten. Auch diesen Fall hatten damals die Sicherheitsforscher von Symantec aufgedeckt.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.