IISpy Backdoor
IISpy to nowo wykryty backdoor, który atakuje Internetowe usługi informacyjne, oprogramowanie serwera WWW opracowane przez firmę Microsoft. Zagrożenie jest zdolne do wykonywania uszkodzonych poleceń, a jego nowatorskie techniki wykrywania i unikania zabezpieczeń zapewniają długotrwałą obecność IISpy na zaatakowanych systemach. Łańcuch ataków tej operacji najprawdopodobniej zaczyna się od wykorzystania przez cyberprzestępców luki w serwerze IIS w celu zdobycia przyczółka. Następnie wdrażają narzędzie do eskalacji uprawnień znane jako Juicy Potato. Osoby atakujące wykorzystują otrzymane uprawnienia administracyjne do wdrożenia IISpy jako natywnego rozszerzenia ISS. Do tej pory ofiary zagrożenia znajdowano w Kanadzie, USA i Holandii.
Zdolności grożące
IISpy jest zaimplementowany w zainfekowanym systemie jako natywny moduł IIS wdrożony w folderach %windir%\system32\inetsrv\ lub %windir%\SysWOW64\inetsrv. Zagrożenie może mieć nazwę cache.dll lub logging.dll . Wykonywanie i trwałość są osiągane przez skonfigurowanie usług IISpy jako rozszerzenia usług IIS w pliku konfiguracyjnym %windir%\system32\inetsrv\config\ApplicationHost.config.
Dzięki skonfigurowaniu jako rozszerzenie IIS zagrożenie jest w stanie zobaczyć wszystkie przychodzące żądania HTTP na zainfekowany serwer. Należy zauważyć, że IISpy działa jak pasywny implant sieci, tzn. nie nawiązuje komunikacji ze swoim serwerem Command-and-Control (C&C, C2). Zamiast tego atakujący muszą zainicjować kontakt z zagrożeniem, wysyłając specjalne żądanie HTTP. Zagrożenie wyodrębnia wbudowane polecenie backdoora i kontynuuje jego wykonanie. Wszystkie legalne żądania HTTP są ignorowane i pozostawiane do obsługi przez normalne moduły serwera. Funkcjonalność IISpy stanowiąca zagrożenie obejmuje zbieranie informacji o systemie, pobieranie lub przesyłanie plików, wykonywanie poleceń powłoki lub plików, manipulowanie systemem plików, tworzenie mapowania między dyskiem lokalnym i zdalnym oraz wydobywanie danych.
Techniki antykryminalistyczne
W przeciwieństwie do innych obserwowanych backdoorów IIS, które są kontrolowane za pomocą zakodowanych na stałe haseł, niestandardowych nagłówków HTTP lub określonych adresów URL, IISpy używa unikalnej struktury dla żądań kontrolera. W rezultacie logi zagrożenia są trudniejsze do zlokalizowania. Odpowiedzi wychodzące wykorzystują inną technikę. Zagrożenie osadza swoją odpowiedź w fałszywym obrazie PNG, a informacje są wstrzykiwane między nagłówki pliku PNG. Cała komunikacja z serwerem C&C jest szyfrowana AES-CBC i kodowana base64.
Ponadto IISpy implementuje procedurę obsługi zdarzeń OnLogRequest. Pozwala zagrożeniu modyfikować wpisy w dzienniku związane z przychodzącymi żądaniami od atakujących i maskować je jako normalnie wyglądające żądania.
