2022/11/21

[資安新聞] 駭客藉由Microsoft IIS Web伺服器之日誌操控惡意軟體

點閱人次:34

公佈單位:TANet VoIP維運團隊

美國資安業者賽門鐵克揭露駭客組織Cranefly(又稱UNC3524)之攻擊行動,其利用Microsoft Internet Information Services (IIS)之伺服器日誌控制受駭電腦中之惡意軟體。Microsoft IIS為建立網站與網頁應用程式之網頁伺服器,當使用者存取網頁時,Microsoft IIS會將存取紀錄儲存至日誌檔中。日誌檔通常用於分析資料與故障排除,惟賽門鐵克發現駭客組織正利用IIS日誌於受駭電腦上安裝後門惡意軟體發送命令。

賽門鐵克資安研究人員發現,Cranefly於受駭伺服器內安裝木馬程式下載器「Trojan.Geppei」。Geppei安裝後可直接讀取IIS日誌,查找含有特定單字(Wrde、Exco及Cllo)之字串,分析字串以解析指令,並根據指令安裝其他惡意軟體、執行命令或刪除檔案。

Cranefly使用之隱藏技術可持續於受駭之伺服器蒐集情資,此技術亦有助於躲避執法部門與研究人員之分析,因駭客可透過代理伺服器、VPN或Tor等各種方式向受駭伺服器傳送命令,雖不清楚有多少伺服器遭受入侵,惟目前尚未發現有資料外洩事件。

以上新聞轉自 行政院國家資通安全會報技術服務中心