IISpy Backdoor

IISpy 是一个新检测到的后门程序，它针对的是 Microsoft 开发的网络服务器软件 Internet Information Services。该威胁能够执行损坏的命令，而其新颖的反检测和规避技术可确保 IISpy 长期存在于受感染的系统上。该操作的攻击链很可能始于威胁参与者利用 IIS 服务器中的漏洞获得立足点。之后，他们部署了一个名为 Juicy Potato 的提权工具。攻击者使用收到的管理权限将 IISpy 部署为本地 ISS 扩展。到目前为止，已在加拿大、美国和荷兰发现了该威胁的受害者。

威胁能力

IISpy 在受感染系统上作为本机 IIS 模块实施，部署在%windir%\system32\inetsrv\或%windir%\SysWOW64\inetsrv文件夹中。威胁可以命名为cache.dll或logging.dll 。通过在 %windir%\system32\inetsrv\config\ApplicationHost.config配置文件中将 IISpy 配置为 IIS 扩展来实现执行和持久化。

通过配置为 IIS 扩展，威胁能够查看受感染服务器上的所有传入 HTTP 请求。应该注意的是，IISpy 充当被动网络植入物，即它不与其命令和控制（C&C，C2）服务器建立通信。相反，攻击者必须通过发送特殊的 HTTP 请求来发起与威胁的联系。威胁提取嵌入的后门命令并继续执行。所有合法的 HTTP 请求都将被忽略并由正常的服务器模块处理。 IISpy 威胁功能包括收集系统信息、获取或上传文件、执行 shell 命令或文件、操纵文件系统、在本地和远程驱动器之间创建映射以及泄露数据。

反取证技术

与其他观察到的通过硬编码密码、自定义 HTTP 标头或特定 URL 控制的 IIS 后门不同，IISpy 对其控制器请求使用独特的结构。因此，威胁的日志更难查明。传出响应采用不同的技术。该威胁将其响应嵌入到伪造的 PNG 图像中，并在 PNG 文件头之间注入信息。与 C&C 服务器的所有通信都使用 AES-CBC 和 base64 编码进行加密。

此外，IISpy 实现了 OnLogRequest 事件处理程序。它允许威胁修改与来自攻击者的传入请求相关的日志条目，并将它们掩饰为看起来正常的请求。