Бэкдор IISpy

IISpy - это недавно обнаруженный бэкдор, нацеленный на Internet Information Services, программное обеспечение веб-сервера, разработанное Microsoft. Угроза способна выполнять поврежденные команды, а ее новые методы защиты от обнаружения и уклонения обеспечивают долгосрочное присутствие IISpy в скомпрометированных системах. Цепочка атаки операции, скорее всего, начинается с того, что злоумышленники используют уязвимость на сервере IIS, чтобы закрепиться. После этого они развертывают инструмент повышения привилегий, известный как Juicy Potato. Злоумышленники используют полученные административные привилегии для развертывания IISpy как собственного расширения ISS. Пока жертвы угрозы найдены в Канаде, США и Нидерландах.

Угрожающие возможности

IISpy реализован в зараженной системе как собственный модуль IIS, развернутый в папках % windir% \ system32 \ inetsrv \ или % windir% \ SysWOW64 \ inetsrv. Угроза может называться cache.dll или logging.dll . Выполнение и постоянство достигаются путем настройки IISpy как расширения IIS в файле конфигурации % windir% \ system32 \ inetsrv \ config \ ApplicationHost.config.

Будучи настроенным как расширение IIS, угроза способна видеть все входящие HTTP-запросы на зараженном сервере. Следует отметить, что IISpy действует как пассивный сетевой имплант, то есть не устанавливает связь со своим сервером Command-and-Control (C&C, C2). Вместо этого злоумышленники должны инициировать контакт с угрозой, отправив специальный HTTP-запрос. Угроза извлекает встроенную команду бэкдора и продолжает ее выполнение. Все законные HTTP-запросы игнорируются и оставляются для обработки обычными серверными модулями. Функциональность, угрожающая IISpy, включает сбор системной информации, выборку или загрузку файлов, выполнение команд или файлов оболочки, манипулирование файловой системой, создание сопоставления между локальным и удаленным дисками и извлечение данных.

Методы защиты от судебной экспертизы

В отличие от других наблюдаемых бэкдоров IIS, которые управляются с помощью жестко заданных паролей, настраиваемых заголовков HTTP или определенных URL-адресов, IISpy использует уникальную структуру для запросов своих контроллеров. В результате труднее определить журналы угроз. В исходящих ответах используется другая техника. Угроза встраивает свой ответ в поддельное изображение PNG с информацией, вставленной между заголовками файлов PNG. Вся связь с C&C сервером зашифрована с использованием кодировки AES-CBC и base64.

Кроме того, IISpy реализует обработчик событий OnLogRequest. Это позволяет угрозе изменять записи журнала, относящиеся к входящим запросам от злоумышленников, и маскировать их как обычные запросы.