IISpy 백도어

IISpy는 Microsoft에서 개발한 웹 서버 소프트웨어인 Internet Information Services를 대상으로 하는 새로 탐지된 백도어입니다. 위협 요소는 손상된 명령을 실행할 수 있으며 새로운 탐지 방지 및 회피 기술을 통해 손상된 시스템에서 IISpy가 장기간 존재하도록 합니다. 작업의 공격 체인은 공격자가 IIS 서버의 취약점을 악용하여 발판을 확보하는 것으로 시작될 가능성이 큽니다. 그런 다음 Juicy Potato라는 권한 상승 도구를 배포합니다. 공격자는 받은 관리 권한을 사용하여 IISpy를 기본 ISS 확장으로 배포합니다. 지금까지 위협의 희생자는 캐나다, 미국 및 네덜란드에서 발견되었습니다.

위협적인 능력

IISpy는 감염된 시스템에서 %windir%\system32\inetsrv\ 또는 %windir%\SysWOW64\inetsrv 폴더에 배포된 기본 IIS 모듈로 구현됩니다. 위협 요소의 이름은 cache.dll 또는 logging.dll일 수 있습니다. 실행 및 지속성은 %windir%\system32\inetsrv\config\ApplicationHost.config 구성 파일에서 IISpy를 IIS 확장으로 구성하여 달성됩니다.

IIS 확장으로 구성되어 위협 요소는 감염된 서버에서 들어오는 모든 HTTP 요청을 볼 수 있습니다. IISpy는 수동 네트워크 임플란트로 작동합니다. 즉, 명령 및 제어(C&C, C2) 서버와의 통신을 설정하지 않습니다. 대신 공격자는 특별한 HTTP 요청을 보내 위협과의 접촉을 시작해야 합니다. 위협 요소는 내장된 백도어 명령을 추출하여 실행을 진행합니다. 모든 합법적인 HTTP 요청은 무시되고 일반 서버 모듈에서 처리되도록 남겨둡니다. IISpy 위협 기능에는 시스템 정보 수집, 파일 가져오기 또는 업로드, 셸 명령 또는 파일 실행, 파일 시스템 조작, 로컬 및 원격 드라이브 간의 매핑 생성, 데이터 추출이 포함됩니다.

안티 포렌식 기법

하드코딩된 암호, 사용자 지정 HTTP 헤더 또는 특정 URL을 통해 제어되는 다른 관찰된 IIS 백도어와 달리 IISpy는 컨트롤러 요청에 대해 고유한 구조를 사용합니다. 결과적으로 위협의 로그를 정확히 찾아내기가 더 어렵습니다. 발신 응답은 다른 기술을 사용합니다. 위협은 PNG 파일 헤더 사이에 정보가 주입되는 가짜 PNG 이미지에 응답을 포함합니다. C&C 서버와의 모든 통신은 AES-CBC로 암호화되고 base64로 인코딩됩니다.

또한 IISpy는 OnLogRequest 이벤트 처리기를 구현합니다. 이를 통해 위협 요소는 공격자로부터 들어오는 요청과 관련된 로그 항목을 수정하고 정상적인 요청으로 마스킹할 수 있습니다.