IISpy Backdoor

IISpy, Microsoft tarafından geliştirilen web sunucusu yazılımı olan Internet Information Services'ı hedefleyen yeni tespit edilen bir arka kapıdır. Tehdit, bozuk komutları yürütme yeteneğine sahipken, yeni algılama önleme ve kaçınma teknikleri, IISpy'nin güvenliği ihlal edilmiş sistemlerde uzun vadeli varlığını sağlar. Operasyonun saldırı zinciri, büyük olasılıkla, tehdit aktörlerinin bir dayanak elde etmek için IIS sunucusundaki bir güvenlik açığından yararlanmasıyla başlar. Daha sonra, Juicy Potato olarak bilinen bir ayrıcalık yükseltme aracı kullanırlar. Saldırganlar, IISpy'yi yerel bir ISS uzantısı olarak dağıtmak için alınan yönetici ayrıcalıklarını kullanır. Şimdiye kadar, tehdidin kurbanları Kanada, ABD ve Hollanda'da bulundu.

Tehdit Edici Yetenekler

IISpy, virüslü sistemde, %windir%\system32\inetsrv\ veya %windir%\SysWOW64\inetsrv klasörlerinde dağıtılan yerel bir IIS modülü olarak uygulanır. Tehdit, cache.dll veya logging.dll olarak adlandırılabilir. Yürütme ve kalıcılık, IISpy'yi %windir%\system32\inetsrv\config\ApplicationHost.config yapılandırma dosyasında bir IIS uzantısı olarak yapılandırarak elde edilir.

Bir IIS uzantısı olarak yapılandırılan tehdit, virüslü sunucuda gelen tüm HTTP isteklerini görebilir. IISpy'nin pasif bir ağ implantı gibi davrandığına, yani Komuta ve Kontrol (C&C, C2) sunucusuyla iletişim kurmadığına dikkat edilmelidir. Bunun yerine saldırganlar, özel bir HTTP isteği göndererek tehditle temasa geçmelidir. Tehdit, gömülü arka kapı komutunu çıkarır ve yürütülmesine devam eder. Tüm meşru HTTP istekleri yok sayılır ve normal sunucu modülleri tarafından işlenmek üzere bırakılır. IISpy tehdit işlevselliği, sistem bilgilerini toplamayı, dosyaları getirmeyi veya yüklemeyi, kabuk komutlarını veya dosyalarını yürütmeyi, dosya sistemini manipüle etmeyi, yerel ve uzak bir sürücü arasında bir eşleme oluşturmayı ve verileri sızdırmayı içerir.

Anti-Adli Teknikler

Sabit kodlanmış parolalar, özel HTTP başlıkları veya belirli URL'ler aracılığıyla kontrol edilen diğer gözlemlenen IIS arka kapılarının aksine, IISpy, denetleyici istekleri için benzersiz bir yapı kullanır. Sonuç olarak, tehdidin günlüklerini saptamak daha zordur. Giden yanıtlar farklı bir teknik kullanır. Tehdit, yanıtını, PNG dosya başlıkları arasına enjekte edilen bilgilerle sahte bir PNG görüntüsüne yerleştirir. C&C sunucusuyla olan tüm iletişim, AES-CBC ile şifrelenir ve base64 ile kodlanır.

Ayrıca, IISpy bir OnLogRequest olay işleyicisi uygular. Tehdidin saldırganlardan gelen isteklerle ilgili günlük girişlerini değiştirmesine ve bunları normal görünen istekler olarak maskelemesine olanak tanır.