IISerpent Trojan
IISerpent Trojan è una peculiare minaccia malware che prende di mira il software del server Web Internet Information Services di Microsoft. La minaccia viene iniettata in un'installazione di IIS come estensione danneggiata. A differenza di altre minacce malware ISS, l'obiettivo di IISerpent non è raccogliere informazioni sensibili (numeri di carte di credito/debito) o eseguire comandi backdoor sui sistemi compromessi. La funzionalità di IISerpent può essere meglio descritta come una frode SEO (Search Engine Optimization) offerta come servizio. La minaccia utilizza tecniche SEO non etiche, un comportamento noto come Black Hat SEO, e tenta di aumentare il ranking delle pagine di terze parti, molto probabilmente appartenenti ai clienti che pagano per i servizi degli hacker.
Sommario
Dettagli tecnici
IISerpent è un modulo IIS nativo. È implementato come DLL C++ e aggiunto al file %windir%\system32\inetsrv\config\ApplicationHost.config . In questo modo si garantisce sia l'esecuzione che la persistenza sul sistema infetto. Una volta stabilito completamente, il malware inizierà a intercettare tutte le richieste HTTP in entrata ai siti Web ospitati sul server. Tuttavia, IISerpent non influirà direttamente sul server compromesso o sugli utenti del server. Il malware ignorerà completamente qualsiasi richiesta proveniente da visitatori legittimi. È interessato solo alle richieste associate ai crawler dei motori di ricerca e quindi mostra loro contenuti diversi su ciò che è nella pagina effettiva. Il nuovo contenuto viene recuperato dal server C&C (Command-and-Control) dell'operazione o da un file di configurazione locale.
Tecniche SEO impiegate
I crawler dei motori di ricerca sono responsabili della perlustrazione di Internet e dell'analisi del contenuto delle pagine che trovano. Il contenuto scansionato da questi bot viene eseguito attraverso un complesso algoritmo che determina le classifiche di ogni pagina relativa a particolari termini di ricerca. Aumentare il ranking della tua pagina significa aumentare la visibilità e il traffico potenziale.
Per raggiungere questo obiettivo, alcuni operatori di pagine sono disposti a impiegare tattiche SEO losche. IISerpent si affida esattamente a queste tecniche per migliorare il posizionamento dei siti Web di terzi sfruttando i posizionamenti sui siti Web sul server compromesso. Più specificamente, ISerepent utilizza due metodi principali:
- Reindirizza i motori di ricerca a un sito Web appositamente scelto, trasformandolo in una pagina di accesso.
- Inietta un elenco di backlink preconfigurati nella risposta HTTP che viene consegnata ai crawler dei motori di ricerca. Questo metodo trasforma efficacemente i server compromessi dalla minaccia in farm di collegamento.
Conseguenze dell’infezione da serpente II
Sebbene sia vero che le azioni di IISerpent non influenzano in alcun modo i legittimi visitatori dei siti, la sua presenza non dovrebbe essere presa alla leggera. La minaccia dirotta la reputazione dei siti Web compromessi e utilizza pratiche SEO non etiche per ingannare i crawler dei motori di ricerca. Entrambe le attività verranno rilevate dai motori, eventualmente, e possono portare a penalizzare i siti Web coinvolti, senza che siano partecipanti consenzienti allo schema. In seguito, ripulire la loro reputazione e rimuovere le sanzioni potrebbe essere un processo costoso ed estremamente dispendioso in termini di tempo. Per evitare tali spiacevoli risultati, mantieni aggiornati i tuoi server IIS, non scaricare estensioni da fonti non provate e considera l'aggiunta di un'applicazione firewall o una soluzione di sicurezza sul server.
