IISpy Backdoor

IISpy is een nieuw gedetecteerde achterdeur die zich richt op Internet Information Services, de webserversoftware die is ontwikkeld door Microsoft. De dreiging is in staat om corrupte commando's uit te voeren, terwijl de nieuwe anti-detectie- en ontwijkingstechnieken de aanwezigheid van IISpy op de gecompromitteerde systemen op lange termijn verzekeren. De aanvalsketen van de operatie begint hoogstwaarschijnlijk met de bedreigingsactoren die een kwetsbaarheid in de IIS-server misbruiken om voet aan de grond te krijgen. Daarna zetten ze een privilege-escalatietool in die bekend staat als Juicy Potato. De aanvallers gebruiken de ontvangen beheerdersrechten om IISpy in te zetten als een native ISS-extensie. Tot nu toe zijn slachtoffers van de dreiging gevonden in Canada, de VS en Nederland.

Dreigende mogelijkheden

IISpy wordt op het geïnfecteerde systeem geïmplementeerd als een native IIS-module die wordt geïmplementeerd in de mappen %windir%\system32\inetsrv\ of %windir%\SysWOW64\inetsrv. De dreiging kan cache.dll of logging.dll heten . Uitvoering en persistentie worden bereikt door IISpy te configureren als een IIS-extensie in het configuratiebestand %windir%\system32\inetsrv\config\ApplicationHost.config .

Door te worden geconfigureerd als een IIS-extensie, kan de dreiging alle inkomende HTTP-verzoeken op de geïnfecteerde server zien. Opgemerkt moet worden dat IISpy fungeert als een passief netwerkimplantaat, dwz dat het geen communicatie tot stand brengt met zijn Command-and-Control (C&C, C2) server. In plaats daarvan moeten de aanvallers contact opnemen met de dreiging door een speciaal HTTP-verzoek te sturen. De dreiging extraheert het ingebedde achterdeurcommando en gaat verder met de uitvoering ervan. Alle legitieme HTTP-verzoeken worden genegeerd en moeten worden afgehandeld door de normale servermodules. IISpy-bedreigende functionaliteit omvat het verzamelen van systeeminformatie, het ophalen of uploaden van bestanden, het uitvoeren van shell-opdrachten of bestanden, het manipuleren van het bestandssysteem, het creëren van een mapping tussen een lokale en een externe schijf en het exfiltreren van gegevens.

Anti-forensische technieken

In tegenstelling tot de andere waargenomen IIS-achterdeuren die worden beheerd via hardgecodeerde wachtwoorden, aangepaste HTTP-headers of specifieke URL's, gebruikt IISpy een unieke structuur voor zijn controllerverzoeken. Als gevolg hiervan zijn de logboeken van de dreiging moeilijker te lokaliseren. De uitgaande reacties maken gebruik van een andere techniek. De dreiging sluit zijn reactie in een nep-PNG-afbeelding in, waarbij de informatie tussen de PNG-bestandsheaders wordt geïnjecteerd. Alle communicatie met de C&C-server is versleuteld met AES-CBC en base64-gecodeerd.

Bovendien implementeert IISpy een OnLogRequest-gebeurtenishandler. Het stelt de dreiging in staat om de logboekvermeldingen met betrekking tot de inkomende verzoeken van de aanvallers te wijzigen en deze te maskeren als normaal ogende verzoeken.