IISpy Backdoor

IISpy är en nyligen upptäckt bakdörr som riktar sig till Internet Information Services, webbserverprogramvaran som utvecklats av Microsoft. Hotet kan utföra skadade kommandon, medan dess nya antidetekterings- och undandragningstekniker säkerställer IISpys långsiktiga närvaro på de komprometterade systemen. Operationens attackkedja börjar troligen med att hotaktörerna utnyttjar en sårbarhet i IIS -servern för att få fotfäste. Efteråt distribuerar de ett eskaleringsverktyg för privilegier som kallas Juicy Potato. Angriparna använder de mottagna administrativa behörigheterna för att distribuera IISpy som en inbyggd ISS -tillägg. Hittills har offer för hotet hittats i Kanada, USA och Nederländerna.

Hotande förmågor

IISpy implementeras på det infekterade systemet som en inbyggd IIS -modul som distribueras antingen i mappar %windir %\ system32 \ inetsrv \ eller %windir %\ SysWOW64 \ inetsrv. Hotet kan heta cache.dll eller logging.dll . Körning och uthållighet uppnås genom att konfigurera IISpy som ett IIS -tillägg i konfigurationsfilen %windir %\ system32 \ inetsrv \ config \ ApplicationHost.config.

Genom att konfigureras som ett IIS -tillägg kan hotet se alla inkommande HTTP -förfrågningar på den infekterade servern. Det bör noteras att IISpy fungerar som ett passivt nätverksimplantat, det vill säga att det inte upprättar kommunikation med dess Command-and-Control (C&C, C2) -server. Istället måste angriparna inleda kontakt med hotet genom att skicka en särskild HTTP -begäran. Hotet extraherar det inbäddade bakdörrkommandot och fortsätter med dess körning. Alla legitima HTTP -begäranden ignoreras och får hanteras av de vanliga servermodulerna. IISpy -hotande funktioner inkluderar insamling av systeminformation, hämtning eller överföring av filer, körning av skalkommandon eller filer, manipulering av filsystemet, skapande av en kartläggning mellan en lokal och en fjärrenhet och exfiltrering av data.

Kriminalteknisk teknik

Till skillnad från de andra observerade IIS -bakdörrarna som styrs med hårdkodade lösenord, anpassade HTTP -rubriker eller specifika webbadresser, använder IISpy en unik struktur för sina controllerförfrågningar. Som ett resultat är hotets loggar svårare att identifiera. De utgående svaren använder en annan teknik. Hotet inbäddat sitt svar i en falsk PNG -bild med informationen som injiceras mellan PNG -filhuvudena. All kommunikation med C&C-servern är krypterad med AES-CBC och bas64-kodad.

Dessutom implementerar IISpy en OnLogRequest -händelsehanterare. Det tillåter hotet att ändra loggposterna relaterade till inkommande begäranden från angriparna och maskera dem som vanliga utseende.