Backdoor IISpy

O IISpy é um backdoor recém-detectado que tem como alvo os Serviços de Informações da Internet, o software de servidor da Web desenvolvido pela Microsoft. A ameaça é capaz de executar comandos corrompidos, enquanto suas novas técnicas de detecção e evasão garantem a presença de longo prazo do IISpy nos sistemas comprometidos. A cadeia de ataque da operação provavelmente começa com os atores da ameaça explorando uma vulnerabilidade no servidor IIS para se firmar. Depois, eles implantam uma ferramenta de escalonamento de privilégios conhecida como Juicy Potato. Os invasores usam os privilégios administrativos recebidos para implantar o IISpy como uma extensão ISS nativa. Até o momento, as vítimas da ameaça foram encontradas no Canadá, nos EUA e na Holanda.

Capacidades Ameaçadoras

O IISpy é implementado no sistema infectado como um módulo IIS nativo implantado nas pastas %windir%\system32\inetsrv\ or the %windir%\SysWOW64\inetsrv. A ameaça pode ser chamada de cache.dll ou logging.dll . A execução e a persistência são obtidas configurando o IISpy como uma extensão do IIS no arquivo de configuração %windir%\system32\inetsrv\config\ApplicationHost.config.

Ao ser configurada como uma extensão do IIS, a ameaça é capaz de ver todas as solicitações HTTP de entrada no servidor infectado. Ressalta-se que IISpy atua como um implante de rede passivo, ou seja, não estabelece a comunicação com seu servidor de Comando e Controle (C&C, C2). Em vez disso, os invasores devem iniciar o contato com a ameaça enviando uma solicitação HTTP especial. A ameaça extrai o comando backdoor embutido e prossegue com sua execução. Todas as solicitações HTTP legítimas são ignoradas e deixadas para serem tratadas pelos módulos normais do servidor. A funcionalidade de ameaça do IISpy inclui a coleta de informações do sistema, busca ou upload de arquivos, execução de comandos shell ou arquivos, manipulação do sistema de arquivos, criação de um mapeamento entre uma unidade local e remota e exfiltração de dados.

Técnicas Anti-Forenses

Ao contrário de outros backdoors IIS observados, que são controlados por meio de senhas codificadas, cabeçalhos HTTP personalizados ou URLs específicos, o IISpy usa uma estrutura exclusiva para suas solicitações de controlador. Como resultado, os registros da ameaça são mais difíceis de localizar. As respostas de saída empregam uma técnica diferente. A ameaça incorpora sua resposta em uma imagem PNG falsa com as informações injetadas entre os cabeçalhos dos arquivos PNG. Toda a comunicação com o servidor C&C é criptografada com AES-CBC e codificada em base64.

Além disso, o IISpy implementa um manipulador de eventos OnLogRequest. Ele permite que a ameaça modifique as entradas de registro relacionadas às solicitações de entrada dos invasores e mascare-as como solicitações de aparência normal.