Το IISpy Backdoor πηγαίνει μετά από διακομιστές IIS της Microsoft
Το IISpy Backdoor είναι ένα επικίνδυνο Trojan, το οποίο στοχεύει σε μια συγκεκριμένη υπηρεσία Windows - τις Υπηρεσίες Πληροφοριών Διαδικτύου (IIS.) Ο στόχος του κακόβουλου λογισμικού είναι η αναγνώριση και η κατασκοπεία. Αυτός είναι ο λόγος για τον οποίο εστιάζει σε εργασίες που θα του επιτρέψουν να αποφύγει τον εντοπισμό και να επιμείνει για όσο το δυνατόν περισσότερο. Σύμφωνα με τους ειδικούς, τα πρώτα δείγματα του IISpy Backdoor χρονολογούνται από τον Ιούλιο του 2020, οπότε φαίνεται ότι αυτό το Trojan χρησιμοποιείται για περισσότερο από ένα χρόνο. Οι εγκληματίες βασίζονται σε ένα ευρύ φάσμα εκμεταλλεύσεων κλιμάκωσης προνομίων και εργαλείων για να δώσουν στο εμφύτευμα τη δυνατότητα χειρισμού των ρυθμίσεων των Windows.
Αυτό που προκαλεί έκπληξη στο backdoor είναι ότι λειτουργεί σαν επέκταση για διακομιστές IIS. Αυτό μπορεί να κάνει την ανίχνευση ακόμη πιο δύσκολη. Επιπλέον, δείχνει ότι οι συντάκτες του IISpy Backdoor είναι πολύ εξοικειωμένοι με τη λειτουργικότητα και την απόδοση των Windows Internet Services Services.
Τι κάνει το IISpy Backdoor;
Δεδομένου ότι λειτουργεί ως επέκταση για IIS, το IISpy Backdoor είναι σε θέση να κατασκοπεύει εύκολα την κίνηση HTTP και να συνδυάζει τη δική του επικοινωνία με νόμιμα αιτήματα δικτύου. Αυτό καθιστά την ανίχνευση πιο δύσκολη, εκτός εάν το θύμα χρησιμοποιήσει τα κατάλληλα εργαλεία παρακολούθησης δικτύου για να καταγράψει τις σκιώδεις συνδέσεις. Αφού το backdoor θέσει σε κίνδυνο έναν διακομιστή με επιτυχία, οι χειριστές του αποκτούν τη δυνατότητα να εκτελούν τις ακόλουθες εργασίες:
- Λάβετε λεπτομέρειες υλικού και λογισμικού σχετικά με το θύμα.
- Ανεβάστε ή κατεβάστε αρχεία.
- Εκτέλεση αρχείων και απομακρυσμένων εντολών.
- Ανοίξτε ένα αντίστροφο κέλυφος.
- Διαχειριστείτε αρχεία και φακέλους στο μολυσμένο μηχάνημα.
- Διήθηση αρχείων.
Συνήθως, το κακόβουλο λογισμικό IIS είναι πολύ πιο δυσάρεστο όταν πρόκειται για επικοινωνία με τον απομακρυσμένο διακομιστή ή για τη διείσδυση δεδομένων. Βασίζονται σε συγκεκριμένες κεφαλίδες HTTP ή ειδικούς κωδικούς πρόσβασης και κλειδιά για την ολοκλήρωση εργασιών όπως η απομακρυσμένη εκτέλεση κώδικα. Το IISpy Backdoor, ωστόσο, χρησιμοποιεί μια πιο προηγμένη τεχνική, η οποία καθιστά την αποτύπωση δακτυλικών αποτυπωμάτων στα επικίνδυνα πακέτα πολύ πιο δύσκολη.
Μέχρι στιγμής, δεν υπάρχουν αρκετές πληροφορίες για τον προσδιορισμό των φορέων μόλυνσης που χρησιμοποιούνται για την παράδοση του IISpy Backdoor. Επιπλέον, οι ερευνητές δεν μπόρεσαν να συνδέσουν οποιαδήποτε ομάδα απειλών με αυτήν την καμπάνια. Επιθέσεις όπως η εν λόγω μπορεί να ματαιωθούν χρησιμοποιώντας κατάλληλα πρωτόκολλα ασφάλειας δικτύου, πολιτικές και λογισμικό προστασίας από ιούς.