Threat Database Backdoors IISpy Backdoor

IISpy Backdoor

IISpy एक नया पता लगाया गया पिछला दरवाजा है जो Microsoft द्वारा विकसित वेबसर्वर सॉफ़्टवेयर इंटरनेट सूचना सेवाओं को लक्षित करता है। यह खतरा भ्रष्ट आदेशों को क्रियान्वित करने में सक्षम है, जबकि इसकी नई एंटी-डिटेक्शन और चोरी तकनीक IISpy की समझौता किए गए सिस्टम पर दीर्घकालिक उपस्थिति सुनिश्चित करती है। ऑपरेशन की हमले की श्रृंखला सबसे अधिक संभावना है कि आईआईएस सर्वर में एक पैर जमाने के लिए एक भेद्यता का शोषण करने वाले खतरे वाले अभिनेताओं के साथ शुरू होता है। बाद में, वे एक विशेषाधिकार वृद्धि उपकरण तैनात करते हैं जिसे रसदार आलू के रूप में जाना जाता है। हमलावर प्राप्त प्रशासनिक विशेषाधिकारों का उपयोग IISpy को मूल ISS एक्सटेंशन के रूप में तैनात करने के लिए करते हैं। अब तक इस खतरे के शिकार कनाडा, अमेरिका और नीदरलैंड्स में पाए गए हैं।

धमकी देने की क्षमता

IISpy को संक्रमित सिस्टम पर %windir%\system32\inetsrv\ या %windir%\SysWOW64\inetsrv फ़ोल्डरों में तैनात मूल IIS मॉड्यूल के रूप में लागू किया गया है। खतरे को cache.dll या logging.dll नाम दिया जा सकता है। IISpy को %windir%\system32\inetsrv\config\ApplicationHost.config कॉन्फ़िगरेशन फ़ाइल में IIS एक्सटेंशन के रूप में कॉन्फ़िगर करके निष्पादन और दृढ़ता प्राप्त की जाती है।

IIS एक्सटेंशन के रूप में कॉन्फ़िगर किए जाने से, ख़तरा संक्रमित सर्वर पर आने वाले सभी HTTP अनुरोधों को देखने में सक्षम है। यह ध्यान दिया जाना चाहिए कि IISpy एक निष्क्रिय नेटवर्क इम्प्लांट के रूप में कार्य करता है, अर्थात यह अपने कमांड-एंड-कंट्रोल (C&C, C2) सर्वर के साथ संचार स्थापित नहीं करता है। इसके बजाय, हमलावरों को एक विशेष HTTP अनुरोध भेजकर खतरे से संपर्क शुरू करना चाहिए। खतरा एम्बेडेड बैकडोर कमांड को निकालता है और इसके निष्पादन के साथ आगे बढ़ता है। सभी वैध HTTP अनुरोधों को अनदेखा कर दिया जाता है और सामान्य सर्वर मॉड्यूल द्वारा नियंत्रित करने के लिए छोड़ दिया जाता है। IISpy धमकी देने वाली कार्यक्षमता में सिस्टम की जानकारी एकत्र करना, फ़ाइलें लाना या अपलोड करना, शेल कमांड या फ़ाइलों को निष्पादित करना, फ़ाइल सिस्टम में हेरफेर करना, स्थानीय और दूरस्थ ड्राइव के बीच मैपिंग बनाना और डेटा को बाहर निकालना शामिल है।

एंटी-फोरेंसिक तकनीक

अन्य देखे गए IIS बैकडोर के विपरीत जो हार्डकोडेड पासवर्ड, कस्टम HTTP हेडर या विशिष्ट URL के माध्यम से नियंत्रित होते हैं, IISpy अपने नियंत्रक अनुरोधों के लिए एक अद्वितीय संरचना का उपयोग करता है। नतीजतन, खतरे के लॉग को इंगित करना कठिन होता है। आउटगोइंग प्रतिक्रियाएं एक अलग तकनीक का इस्तेमाल करती हैं। यह खतरा नकली पीएनजी छवि में अपनी प्रतिक्रिया को पीएनजी फ़ाइल हेडर के बीच इंजेक्ट की जा रही जानकारी के साथ एम्बेड करता है। सी एंड सी सर्वर के साथ सभी संचार एईएस-सीबीसी और बेस 64 एन्कोडेड के साथ एन्क्रिप्टेड हैं।

इसके अलावा, IISpy एक OnLogRequest ईवेंट हैंडलर लागू करता है। यह खतरे को हमलावरों से आने वाले अनुरोधों से संबंधित लॉग प्रविष्टियों को संशोधित करने और उन्हें सामान्य दिखने वाले अनुरोधों के रूप में मुखौटा करने की अनुमति देता है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...