IISpy Backdoor

IISpy è una backdoor appena rilevata che prende di mira Internet Information Services, il software del server web sviluppato da Microsoft. La minaccia è in grado di eseguire comandi corrotti, mentre le sue nuove tecniche di anti-rilevamento ed evasione assicurano la presenza a lungo termine di IISpy sui sistemi compromessi. La catena di attacco dell'operazione molto probabilmente inizia con gli attori della minaccia che sfruttano una vulnerabilità nel server IIS per ottenere un punto d'appoggio. Successivamente, distribuiscono uno strumento di escalation dei privilegi noto come Juicy Potato. Gli aggressori utilizzano i privilegi amministrativi ricevuti per distribuire IISpy come estensione ISS nativa. Finora, le vittime della minaccia sono state trovate in Canada, negli Stati Uniti e nei Paesi Bassi.

Capacità minacciose

IISpy è implementato sul sistema infetto come modulo IIS nativo distribuito nelle cartelle %windir%\system32\inetsrv\ o %windir%\SysWOW64\inetsrv. La minaccia potrebbe essere chiamato cache.dll o logging.dll. L'esecuzione e la persistenza si ottengono configurando IISpy come estensione IIS nel file di configurazione %windir%\system32\inetsrv\config\ApplicationHost.config.

Essendo configurata come estensione IIS, la minaccia è in grado di vedere tutte le richieste HTTP in entrata sul server infetto. Va notato che IISpy agisce come un impianto di rete passivo, cioè non stabilisce la comunicazione con il suo server Command-and-Control (C&C, C2). Invece, gli aggressori devono avviare il contatto con la minaccia inviando una richiesta HTTP speciale. La minaccia estrae il comando backdoor incorporato e procede con la sua esecuzione. Tutte le richieste HTTP legittime vengono ignorate e lasciate che vengano gestite dai normali moduli del server. La funzionalità minacciosa di IISpy include la raccolta di informazioni di sistema, il recupero o il caricamento di file, l'esecuzione di comandi o file di shell, la manipolazione del file system, la creazione di una mappatura tra un'unità locale e una remota e l'esfiltrazione dei dati.

Tecniche anti-forensi

A differenza delle altre backdoor IIS osservate che sono controllate tramite password codificate, intestazioni HTTP personalizzate o URL specifici, IISpy utilizza una struttura univoca per le richieste del controller. Di conseguenza, i registri della minaccia sono più difficili da individuare. Le risposte in uscita utilizzano una tecnica diversa. La minaccia incorpora la sua risposta in una falsa immagine PNG con le informazioni che vengono iniettate tra le intestazioni del file PNG. Tutte le comunicazioni con il server C&C sono crittografate con AES-CBC e codificate base64.

Inoltre, IISpy implementa un gestore di eventi OnLogRequest. Consente alla minaccia di modificare le voci di registro relative alle richieste in arrivo dagli aggressori e mascherarle come richieste dall'aspetto normale.