Cranefly 黑客组织，又名 UNC3524，使用一种以前从未见过的技术，通过 Microsoft Internet 信息服务 (IIS)服务器日志控制受感染设备上的恶意软件。

Microsoft Internet Information Services (IIS) 是一个允许托管网站和 Web 应用程序的 Web 服务器。

与任何 Web 服务器一样，当远程用户访问网页时，IIS 会将请求记录到包含时间戳、源 IP 地址、请求的 URL、HTTP 状态代码等的日志文件中。

这些日志通常用于故障排除和分析，但赛门铁克的一份新报告显示，一个黑客组织正在利用使用 IIS 日志的新技术向安装在设备上的后门恶意软件发送命令。

恶意软件通常通过与命令和控制服务器的网络连接接收命令。但是，许多组织监视网络流量以发现恶意通信。

另一方面，Web 服务器日志用于存储来自全球任何访问者的请求，并且很少受到安全软件的监控，这使得它们成为存储恶意命令的有趣位置，同时降低了被检测到的机会。

这有点类似于 在 2022 年 5 月看到的在 Windows 事件日志中隐藏恶意软件的技术，攻击者使用它来逃避检测。

发现这种新策略的赛门铁克研究人员表示，这是他们第一次在野外观察到它。

对于像 Cranefly 这样熟练的网络间谍， Mandiant 之前发现 他们在受感染的网络中花费了 18 个月，逃避检测是他们恶意活动的关键因素。

赛门铁克发现了 Cranefly 使用的一个名为“Trojan.Geppei”的新投放器，它安装了以前未知的恶意软件“Trojan.Danfuan”。

Geppei 直接从 IIS 日志中读取命令，查找特定字符串（Wrde、Exco、Cllo），然后对其进行解析以提取命令和有效负载。

根据在 IIS 日志中找到的字符串，恶意软件将安装其他恶意软件（'Wrde' 字符串）、执行命令（'Exco' 字符串）或删除禁用 IIS 日志记录的工具（'Cllo' 字符串）。

例如，如果 HTTP 请求包含“Wrde”字符串，则 Geppei 会将 ReGeorg webshell 或以前未记录的 Danfuan 工具放入指定文件夹中。

ReGeorg 是 Cranefly 用于反向代理的已记录恶意软件，而 Danfuan 是新发现的恶意软件，可以接收 C# 代码并在主机内存上动态编译。

如果请求包含“Exco”字符串，后门会解密并在服务器上启动操作系统命令。

最后，“Cllo”字符串调用 clear() 函数，该函数会删除一个名为“sckspy.exe”的黑客工具，该工具会禁用服务控制管理器上的事件日志记录。

Cranefly 使用这种隐秘技术在受感染的服务器上站稳脚跟并悄悄地收集情报。

这种策略还有助于逃避执法部门和研究人员的跟踪，因为攻击者可以通过代理服务器、VPN、Tor 或 在线编程 IDE等各种方式传递命令。

目前尚不清楚威胁行为者在攻击中滥用此方法的时间有多长，或者有多少服务器遭到入侵。

虽然许多防御者可能已经在监视 IIS 日志中是否存在 Web Shell 的迹象，但可能需要调整这些例程以搜索此活动中使用的命令字符串。