Η ομάδα παραβίασης Cranefly, γνωστή και ως UNC3524, χρησιμοποιεί μια τεχνική ελέγχου κακόβουλου λογισμικού σε μολυσμένες συσκευές μέσω των αρχείων καταγραφής διακομιστή ιστού των υπηρεσιών πληροφοριών Internet της Microsoft (IIS).
Το Microsoft Internet Information Services (IIS) είναι ένας διακομιστής ιστού που επιτρέπει τη φιλοξενία ιστοσελίδων και εφαρμογών Ιστού. Χρησιμοποιείται επίσης από άλλο λογισμικό, όπως το Outlook on the Web (OWA) για το Microsoft Exchange για τη φιλοξενία εφαρμογών διαχείρισης και διεπαφών Ιστού.
Όπως κάθε διακομιστής ιστού, όταν ένας απομακρυσμένος χρήστης αποκτά πρόσβαση σε μια ιστοσελίδα, οι υπηρεσίες IIS θα καταγράφουν το αίτημα καταγραφής αρχείων που περιέχουν τη χρονική σήμανση, τις διευθύνσεις IP προέλευσης, τη διεύθυνση URL που ζητήθηκε, τους κωδικούς κατάστασης HTTP και άλλα.
Αυτά τα αρχεία καταγραφής χρησιμοποιούνται συνήθως για την αντιμετώπιση προβλημάτων και την ανάλυση, αλλά μια νέα αναφορά της Symantec δείχνει ότι μια ομάδα hacking χρησιμοποιεί τη νέα τεχνική της χρήσης αρχείων καταγραφής IIS για την αποστολή εντολών σε κακόβουλο λογισμικό backdoor που είναι εγκατεστημένο στη συσκευή.
Το κακόβουλο λογισμικό συνήθως λαμβάνει εντολές μέσω συνδέσεων δικτύου σε διακομιστές εντολών και ελέγχου. Ωστόσο, πολλοί οργανισμοί παρακολουθούν την κυκλοφορία του δικτύου για να βρουν κακόβουλη επικοινωνία.
Από την άλλη πλευρά, τα αρχεία καταγραφής διακομιστή ιστού χρησιμοποιούνται για την αποθήκευση αιτημάτων από οποιονδήποτε επισκέπτη σε όλο τον κόσμο και σπάνια παρακολουθούνται από λογισμικό ασφαλείας, καθιστώντας τα μια ενδιαφέρουσα τοποθεσία για την αποθήκευση κακόβουλων εντολών, ενώ μειώνονται οι πιθανότητες εντοπισμού.
Αυτό είναι κάπως παρόμοιο με την τεχνική της απόκρυψης κακόβουλου λογισμικού στα αρχεία καταγραφής συμβάντων των Windows, που παρατηρήθηκε τον Μάιο του 2022, που χρησιμοποιήθηκε από φορείς απειλών για να αποφύγουν τον εντοπισμό.
Ερευνητές της Symantec που ανακάλυψαν αυτή τη νέα τακτική λένε ότι είναι η πρώτη φορά που την παρατήρησαν στη φύση.
Για μια ομάδα επιδέξιων κατασκόπων στον κυβερνοχώρο, όπως ο Cranefly, που προηγουμένως είχε εντοπίσει η Mandiant να περνά 18 μήνες σε παραβιασμένα δίκτυα, η αποφυγή εντοπισμού είναι ένας κρίσιμος παράγοντας στις κακόβουλες εκστρατείες τους.
