3518 подписчиков
#news В сетевых дебрях замечен новый метод управления малварью. Вместо C2-серверов злоумышленники из The Cranefly используют IIS-логи. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд.
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
Около минуты
29 октября 2022