IISpy Backdoor

IISpyは、Microsoftが開発したWebサーバーソフトウェアであるインターネットインフォメーションサービスを標的とする、新たに検出されたバックドアです。この脅威は破損したコマンドを実行する可能性がありますが、その斬新な検出防止および回避技術により、侵害されたシステム上でのIISpyの長期的な存在が保証されます。操作の攻撃チェーンは、攻撃者がIISサーバーの脆弱性を悪用して足場を固めることから始まる可能性があります。その後、彼らはジューシーポテトとして知られている特権昇格ツールを展開します。攻撃者は、受け取った管理者権限を使用して、IISpyをネイティブISS拡張機能として展開します。これまでのところ、脅威の犠牲者はカナダ、米国、オランダで発見されています。

脅迫能力

IISpyは、感染したシステムに、％windir％\ system32 \ inetsrv \または％windir％\ SysWOW64 \ inetsrvフォルダーのいずれかに展開されたネイティブIISモジュールとして実装されます。脅威には、cache.dllまたはlogging.dllという名前が付けられている可能性があります。実行と永続性は、IISpyを％windir％\ system32 \ inetsrv \ config \ ApplicationHost.config構成ファイルのIIS拡張機能として構成することで実現されます。

IIS拡張機能として構成することにより、脅威は感染したサーバー上のすべての着信HTTP要求を確認できます。 IISpyはパッシブネットワークインプラントとして機能することに注意してください。つまり、コマンドアンドコントロール（C＆C、C2）サーバーとの通信を確立しません。代わりに、攻撃者は特別なHTTPリクエストを送信して脅威との接触を開始する必要があります。脅威は埋め込まれたバックドアコマンドを抽出し、その実行を続行します。すべての正当なHTTPリクエストは無視され、通常のサーバーモジュールによって処理されます。 IISpyを脅かす機能には、システム情報の収集、ファイルのフェッチまたはアップロード、シェルコマンドまたはファイルの実行、ファイルシステムの操作、ローカルドライブとリモートドライブ間のマッピングの作成、およびデータの盗用が含まれます。

アンチフォレンジックテクニック

ハードコードされたパスワード、カスタムHTTPヘッダー、または特定のURLを介して制御される他の監視対象のIISバックドアとは異なり、IISpyはコントローラー要求に一意の構造を使用します。その結果、脅威のログを特定するのが難しくなります。発信応答は異なる手法を採用しています。脅威は、PNGファイルヘッダーの間に情報が挿入された偽のPNG画像にその応答を埋め込みます。 C＆Cサーバーとのすべての通信は、AES-CBCで暗号化され、base64でエンコードされます。

さらに、IISpyはOnLogRequestイベントハンドラーを実装します。これにより、脅威は攻撃者からの着信要求に関連するログエントリを変更し、通常の要求としてマスクすることができます。