IISerpent 트로이 목마

IISerpent 트로이 목마는 Microsoft의 인터넷 정보 서비스 웹 서버 소프트웨어를 대상으로 하는 독특한 맬웨어 위협입니다. 위협은 손상된 확장으로 IIS 설치에 주입됩니다. 다른 ISS 멀웨어 위협과 달리 IISerpent의 목표는 민감한 정보(신용/직불 카드 번호)를 수집하거나 손상된 시스템에서 백도어 명령을 실행하는 것이 아닙니다. IISerpent의 기능은 서비스로 제공되는 SEO(검색 엔진 최적화) 사기로 가장 잘 설명될 수 있습니다. 이 위협은 Black Hat SEO로 알려진 비윤리적인 SEO 기술을 사용하고 해커 서비스에 대한 비용을 지불하는 클라이언트에 속하는 타사 페이지의 순위를 높이려고 시도합니다.

기술적 세부 사항

IISerpent는 기본 IIS 모듈입니다. C++ DLL로 구현되어 %windir%\system32\inetsrv\config\ApplicationHost.config 파일에 추가됩니다. 이렇게 하면 감염된 시스템에서 실행과 지속성이 모두 보장됩니다. 일단 완전히 설정되면 맬웨어는 서버에서 호스팅되는 웹 사이트로 들어오는 모든 HTTP 요청을 가로채기 시작합니다. 그러나 IISerpent는 손상된 서버나 서버의 사용자에게 직접 영향을 미치지 않습니다. 멀웨어는 합법적인 방문자의 요청을 완전히 무시합니다. 검색 엔진 크롤러와 관련된 요청에만 관심이 있으며 실제 페이지에 있는 것과 다른 콘텐츠를 보여줍니다. 새 콘텐츠는 작업의 C&C(명령 및 제어) 서버 또는 로컬 구성 파일에서 가져옵니다.

채용된 SEO 기술

검색 엔진 크롤러는 인터넷을 수색하고 찾은 페이지의 콘텐츠를 분석합니다. 이러한 봇이 스캔한 콘텐츠는 특정 검색어와 관련된 각 페이지의 순위를 결정하는 복잡한 알고리즘을 통해 실행됩니다. 페이지 순위를 높이면 가시성과 잠재적인 트래픽이 증가합니다.

이 목표를 달성하기 위해 일부 페이지 운영자는 그늘진 SEO 전술을 기꺼이 사용합니다. IISerpent는 손상된 서버의 웹사이트 순위를 악용하여 타사 웹사이트의 순위를 개선하기 위해 정확히 이러한 기술에 의존합니다. 보다 구체적으로 IISerepent는 두 가지 핵심 방법을 사용합니다.

1. 검색 엔진을 특별히 선택한 웹 사이트로 리디렉션하여 도어웨이 페이지로 전환합니다.
2. 검색 엔진 크롤러에 전달되는 HTTP 응답에 미리 구성된 백링크 목록을 삽입합니다. 이 방법은 위협에 의해 손상된 서버를 링크 팜으로 효과적으로 전환합니다.

IISerpent 감염의 결과

IISerpent의 행동이 사이트의 합법적인 방문자에게 어떤 식으로든 영향을 미치지 않는 것은 사실이지만 그 존재를 가볍게 여겨서는 안 됩니다. 이 위협은 손상된 웹사이트의 평판을 가로채고 비윤리적인 SEO 관행을 사용하여 검색 엔진 크롤러를 속입니다. 두 활동 모두 엔진에 의해 결국 감지될 것이며, 해당 웹사이트가 계획에 자발적으로 참여하지 않고 패널티를 받을 수 있습니다. 그 후, 그들의 평판을 지우고 처벌을 제거하는 것은 비용이 많이 들고 시간이 많이 소요되는 과정이 될 수 있습니다. 이러한 불쾌한 결과를 방지하려면 IIS 서버를 최신 상태로 유지하고 검증되지 않은 소스에서 확장을 다운로드하지 말고 서버에 방화벽 응용 프로그램이나 보안 솔루션을 추가하는 것을 고려하십시오.