IISpy Backdoor

IISpy 是一個新檢測到的後門程序，它針對的是 Microsoft 開發的網絡服務器軟件 Internet Information Services。該威脅能夠執行損壞的命令，而其新穎的反檢測和規避技術可確保 IISpy 長期存在於受感染的系統上。該操作的攻擊鏈很可能始於威脅參與者利用 IIS 服務器中的漏洞獲得立足點。之後，他們部署了一個名為 Juicy Potato 的提權工具。攻擊者使用收到的管理權限將 IISpy 部署為本地 ISS 擴展。到目前為止，已在加拿大、美國和荷蘭發現了該威脅的受害者。

威脅能力

IISpy 在受感染系統上作為本機 IIS 模塊實施，部署在%windir%\system32\inetsrv\或%windir%\SysWOW64\inetsrv文件夾中。威脅可以命名為cache.dll或logging.dll 。通過在 %windir%\system32\inetsrv\config\ApplicationHost.config配置文件中將 IISpy 配置為 IIS 擴展來實現執行和持久化。

通過配置為 IIS 擴展，威脅能夠查看受感染服務器上的所有傳入 HTTP 請求。應該注意的是，IISpy 充當被動網絡植入物，即它不與其命令和控制（C&C，C2）服務器建立通信。相反，攻擊者必須通過發送特殊的 HTTP 請求來發起與威脅的聯繫。威脅提取嵌入的後門命令並繼續執行。所有合法的 HTTP 請求都將被忽略並由正常的服務器模塊處理。 IISpy 威脅功能包括收集系統信息、獲取或上傳文件、執行 shell 命令或文件、操縱文件系統、在本地和遠程驅動器之間創建映射以及洩露數據。

反取證技術

與其他觀察到的通過硬編碼密碼、自定義 HTTP 標頭或特定 URL 控制的 IIS 後門不同，IISpy 對其控制器請求使用獨特的結構。因此，威脅的日誌更難查明。傳出響應採用不同的技術。該威脅將其響應嵌入到偽造的 PNG 圖像中，並在 PNG 文件頭之間注入信息。與 C&C 服務器的所有通信都使用 AES-CBC 和 base64 編碼進行加密。

此外，IISpy 實現了 OnLogRequest 事件處理程序。它允許威脅修改與來自攻擊者的傳入請求相關的日誌條目，並將它們偽裝成看起來正常的請求。