IISerpent-trojan

IISerpent Trojan is een eigenaardige malwarebedreiging die zich richt op Microsoft's Internet Information Services-webserversoftware. De dreiging wordt als een beschadigde extensie in een IIS-installatie geïnjecteerd. In tegenstelling tot andere ISS-malwarebedreigingen, is het doel van IISerpent niet om gevoelige informatie (creditcard-/debetkaartnummers) te verzamelen of achterdeurcommando's uit te voeren op de aangetaste systemen. De functionaliteit van IISerpent kan het best worden omschreven als een SEO-fraude (Search Engine Optimization) die als een service wordt aangeboden. De dreiging maakt gebruik van onethische SEO-technieken, een gedrag dat bekend staat als Black Hat SEO, en probeert de positie van pagina's van derden te verbeteren, die hoogstwaarschijnlijk behoren tot de klanten die betalen voor de diensten van de hackers.

Technische details

IISerpent is een native IIS-module. Het is geïmplementeerd als een C++ DLL en toegevoegd aan het bestand %windir%\system32\inetsrv\config\ApplicationHost.config . Door dit te doen, wordt zowel de uitvoering als de persistentie op het geïnfecteerde systeem gegarandeerd. Eenmaal volledig geïnstalleerd, begint de malware alle inkomende HTTP-verzoeken te onderscheppen aan websites die op de server worden gehost. IISerpent heeft echter geen directe invloed op de gecompromitteerde server of de gebruikers van de server. De malware negeert alle verzoeken van legitieme bezoekers volledig. Het is alleen geïnteresseerd in verzoeken die verband houden met crawlers van zoekmachines en laat ze vervolgens verschillende inhoud zien die op de eigenlijke pagina staat. De nieuwe inhoud wordt opgehaald van ofwel de C&C-server (Command-and-Control) van de operatie of een lokaal configuratiebestand.

Gebruikte SEO-technieken

Zoekmachinecrawlers zijn verantwoordelijk voor het doorzoeken van internet en het analyseren van de inhoud op de pagina's die ze vinden. De inhoud die door deze bots wordt gescand, wordt door een complex algoritme geleid dat de rangorde van elke pagina bepaalt met betrekking tot bepaalde zoektermen. Het verhogen van de positie van uw pagina betekent een toename van de zichtbaarheid en potentieel verkeer.

Om dit doel te bereiken, zijn sommige pagina-operators bereid om schaduwrijke SEO-tactieken toe te passen. IISerpent vertrouwt op precies dergelijke technieken om de rangschikking van websites van derden te verbeteren door gebruik te maken van de ranglijst op de websites op de gecompromitteerde server. Meer specifiek gebruikt IISerepent twee kernmethoden:

1. Het leidt de zoekmachines om naar een specifiek gekozen website, waardoor het een doorway-pagina wordt.
2. Het injecteert een lijst met vooraf geconfigureerde backlinks in het HTTP-antwoord dat wordt geleverd aan de crawlers van zoekmachines. Deze methode verandert effectief de servers die door de dreiging zijn aangetast in linkfarms.

Gevolgen van IISerpent-infectie

Hoewel het waar is dat de acties van IISerpent op geen enkele manier de legitieme bezoekers van de sites beïnvloeden, moet de aanwezigheid ervan niet lichtvaardig worden opgevat. De dreiging kaapt de reputatie van de gecompromitteerde websites en maakt gebruik van onethische SEO-praktijken om de crawlers van zoekmachines te misleiden. Beide activiteiten zullen uiteindelijk worden opgemerkt door de motoren en kunnen ertoe leiden dat de betrokken websites worden bestraft, zonder dat ze bereid zijn om aan de regeling deel te nemen. Daarna zou het opruimen van hun reputatie en het opheffen van de boetes een kostbaar en extreem tijdrovend proces kunnen zijn. Om dergelijke onaangename resultaten te voorkomen, moet u uw IIS-servers up-to-date houden, geen extensies downloaden van onbewezen bronnen en overwegen een firewalltoepassing of een beveiligingsoplossing op de server toe te voegen.