IISpy Backdoor

IISpy er en nyligt opdaget bagdør, der er målrettet mod Internet Information Services, webserversoftwaren udviklet af Microsoft. Truslen er i stand til at udføre ødelagte kommandoer, mens dens nye antidetekterings- og unddragelsesteknikker sikrer IISpys langsigtede tilstedeværelse på de kompromitterede systemer. Operationens angrebskæde begynder sandsynligvis med, at trusselsaktørerne udnytter en sårbarhed i IIS -serveren for at få fodfæste. Bagefter implementerer de et eskaleringsværktøj til privilegier kendt som Juicy Potato. Angriberne bruger de modtagne administrative rettigheder til at implementere IISpy som en indbygget ISS -udvidelse. Indtil nu er ofre for truslen fundet i Canada, USA og Holland.

Truende muligheder

IISpy implementeres på det inficerede system som et native IIS -modul, der er implementeret i mapperne %windir %\ system32 \ inetsrv \ eller %windir %\ SysWOW64 \ inetsrv. Truslen kan hedde cache.dll eller logging.dll . Udførelse og vedholdenhed opnås ved at konfigurere IISpy som en IIS -udvidelse i konfigurationsfilen %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config .

Ved at blive konfigureret som en IIS -udvidelse er truslen i stand til at se alle indgående HTTP -anmodninger på den inficerede server. Det skal bemærkes, at IISpy fungerer som et passivt netværksimplantat, dvs. det opretter ikke kommunikationen med sin Command-and-Control (C&C, C2) server. I stedet skal angriberne starte kontakt med truslen ved at sende en særlig HTTP -anmodning. Truslen udtrækker den integrerede bagdørskommando og fortsætter med dens udførelse. Alle legitime HTTP -anmodninger ignoreres og skal behandles af de normale servermoduler. IISpy truende funktionalitet omfatter indsamling af systeminformation, hentning eller upload af filer, udførelse af shell -kommandoer eller filer, manipulation af filsystemet, oprettelse af en kortlægning mellem et lokalt og et eksternt drev og eksfiltrering af data.

Anti-retsmedicinske teknikker

I modsætning til de andre observerede IIS -bagdøre, der styres via hardkodede adgangskoder, brugerdefinerede HTTP -overskrifter eller specifikke webadresser, bruger IISpy en unik struktur til sine controlleranmodninger. Som følge heraf er trusselens logfiler sværere at identificere. De udgående svar anvender en anden teknik. Truslen integrerer sit svar i et falsk PNG -billede, hvor oplysningerne injiceres mellem PNG -filoverskrifterne. Al kommunikation med C&C serveren er krypteret med AES-CBC og base64 kodet.

Derudover implementerer IISpy en OnLogRequest -hændelseshandler. Det tillader truslen at ændre logposter relateret til de indgående anmodninger fra angriberne og maskere dem som normale udseende anmodninger.