IISerpent Trojan
IISerpent Trojan er en ejendommelig malware -trussel, der er målrettet Microsofts Internet Information Services -webserversoftware. Truslen injiceres i en IIS -installation som en beskadiget udvidelse. I modsætning til andre ISS -malware -trusler er målet med IISerpent ikke at indsamle følsomme oplysninger (kredit-/betalingskortnumre) eller udføre bagdørskommandoer på de kompromitterede systemer. IISerpents funktionalitet kan bedst beskrives som en SEO -bedrageri (søgemaskineoptimering), der tilbydes som en service. Truslen anvender uetiske SEO-teknikker, en adfærd kendt som Black Hat SEO, og forsøg på at øge placeringen af tredjeparts sider, der sandsynligvis tilhører kunderne, der betaler for hackertjenesterne.
Indholdsfortegnelse
Tekniske detaljer
IISerpent er et indbygget IIS -modul. Det implementeres som en C ++ DLL og tilføjes til filen %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config. Dette sikrer både dens udførelse og vedholdenhed på det inficerede system. Når den er fuldstændig etableret, begynder malware at opfange alle indgående HTTP -anmodninger til websteder, der er hostet på serveren. IISerpent påvirker imidlertid ikke den kompromitterede server eller serverens brugere direkte. Malwaren ignorerer alle anmodninger fra legitime besøgende fuldstændigt. Det er kun interesseret i anmodninger, der er forbundet med søgemaskinecrawlere, og viser dem derefter forskellige indhold, hvad der er på den aktuelle side. Det nye indhold hentes fra enten C&C (Command-and-Control) serveren for operationen eller en lokal konfigurationsfil.
Ansat SEO teknikker
Søgemaskinecrawlere er ansvarlige for at skure Internettet og analysere indholdet på de sider, de finder. Indholdet, der scannes af disse bots, køres gennem en kompleks algoritme, der bestemmer placeringen af hver side relateret til bestemte søgeudtryk. At øge din sides rang betyder en stigning i synlighed og potentiel trafik.
For at nå dette mål er nogle sideoperatører villige til at anvende lyssky SEO -taktik. IISerpent er afhængig af præcis sådanne teknikker til at forbedre placeringen af tredjepartswebsteder ved at udnytte placeringen på webstederne på den kompromitterede server. Mere specifikt bruger IISerepent to kernemetoder:
- Det omdirigerer søgemaskinerne til et specifikt valgt websted og gør det til en døråbningsside.
- Det injicerer en liste med forudkonfigurerede backlinks i HTTP -svaret, der leveres til søgemaskinens crawlere. Denne metode gør effektivt de servere, der er truet af truslen, til linkfarme.
Konsekvenser af IISerpent -infektion
Selvom det er rigtigt, at IISerpents handlinger ikke på nogen måde påvirker de legitime besøgende på webstederne, bør dets tilstedeværelse ikke tages let på. Truslen kaprer ry for de kompromitterede websteder og anvender uetisk SEO -praksis for at narre søgemaskinecrawlere. Begge aktiviteter vil i sidste ende blive bemærket af motorerne og kan føre til, at de involverede websteder bliver straffet, uden at de er villige deltagere i ordningen. Bagefter kan det være en dyr og ekstremt tidskrævende proces at rydde op i deres omdømme og fjerne sanktionerne. For at undgå sådanne ubehagelige resultater skal du holde dine IIS-servere opdaterede, ikke downloade udvidelser fra uprøvede kilder og overveje at tilføje en firewall-applikation eller en sikkerhedsløsning på serveren.
