IISerpent Trojan
Trojan IISerpent jest szczególnym zagrożeniem złośliwym oprogramowaniem, które atakuje oprogramowanie serwera internetowego Microsoft Internet Information Services. Zagrożenie jest wstrzykiwane do instalacji IIS jako uszkodzone rozszerzenie. W przeciwieństwie do innych zagrożeń złośliwym oprogramowaniem ISS, celem IISerpent nie jest zbieranie poufnych informacji (numerów kart kredytowych/debetowych) ani wykonywanie poleceń backdoora w zaatakowanych systemach. Funkcjonalność IISerpent można najlepiej opisać jako oszustwo SEO (Search Engine Optimization) oferowane jako usługa. Zagrożenie wykorzystuje nieetyczne techniki SEO, zachowanie znane jako Black Hat SEO i próbuje podnieść ranking stron trzecich, najprawdopodobniej należących do klientów płacących za usługi hakerów.
Spis treści
Szczegóły techniczne
IISerpent to natywny moduł IIS. Jest zaimplementowany jako C++ DLL i dodany do pliku %windir%\system32\inetsrv\config\ApplicationHost.config . Takie postępowanie zapewnia zarówno jego wykonanie, jak i trwałość w zainfekowanym systemie. Po pełnym ustanowieniu złośliwe oprogramowanie zacznie przechwytywać wszystkie przychodzące żądania HTTP do stron internetowych hostowanych na serwerze. Jednak IISerpent nie wpłynie bezpośrednio na zhakowany serwer ani na użytkowników serwera. Złośliwe oprogramowanie całkowicie zignoruje wszelkie żądania pochodzące od legalnych użytkowników. Interesuje się tylko żądaniami związanymi z robotami wyszukiwarek, a następnie pokazuje im różne treści, które znajdują się na rzeczywistej stronie. Nowa zawartość jest pobierana z serwera C&C (Command-and-Control) operacji lub z lokalnego pliku konfiguracyjnego.
Zastosowane techniki SEO
Roboty wyszukiwarek są odpowiedzialne za przeszukiwanie Internetu i analizowanie treści na znalezionych stronach. Treść skanowana przez te boty jest obsługiwana przez złożony algorytm, który określa rankingi każdej strony związanej z określonymi wyszukiwanymi hasłami. Podniesienie rangi Twojej strony oznacza wzrost widoczności i potencjalnego ruchu.
Aby osiągnąć ten cel, niektórzy operatorzy stron chętnie stosują podejrzane taktyki SEO. IISerpent opiera się na dokładnie takich technikach, aby poprawić rankingi stron internetowych stron trzecich, wykorzystując rankingi na stronach internetowych na zaatakowanym serwerze. Dokładniej, IISerepent używa dwóch podstawowych metod:
- Przekierowuje wyszukiwarki na konkretnie wybraną stronę internetową, zamieniając ją w stronę wejściową.
- Wstawia listę wstępnie skonfigurowanych linków zwrotnych do odpowiedzi HTTP, która jest dostarczana do robotów wyszukiwarek. Ta metoda skutecznie zamienia serwery zagrożone przez zagrożenie w farmy łączy.
Konsekwencje infekcji IISerpent
Chociaż prawdą jest, że działania IISerpent w żaden sposób nie wpływają na legalnych odwiedzających witryny, jego obecność nie powinna być lekceważona. Zagrożenie przejmuje reputację zhakowanych witryn i wykorzystuje nieetyczne praktyki SEO, aby oszukać roboty wyszukiwarek. Obie czynności zostaną ostatecznie zauważone przez wyszukiwarki i mogą doprowadzić do ukarania zaangażowanych stron internetowych, bez ich chętnego udziału w programie. Później, oczyszczenie ich reputacji i usunięcie kar może być kosztownym i niezwykle czasochłonnym procesem. Aby uniknąć takich nieprzyjemnych skutków, na bieżąco aktualizuj serwery IIS, nie pobieraj rozszerzeń z niesprawdzonych źródeł i rozważ dodanie aplikacji zapory lub rozwiązania zabezpieczającego na serwerze.
