La porte dérobée IISpy s'attaque aux serveurs Microsoft IIS
La porte dérobée IISpy est un cheval de Troie dangereux, qui cible un service Windows particulier - les services d'information Internet (IIS). Le but du malware est la reconnaissance et l'espionnage. C'est pourquoi il se concentre sur des tâches qui lui permettraient d'échapper à la détection et de persister le plus longtemps possible. Selon les experts, les premiers échantillons de la porte dérobée IISpy remontent à juillet 2020, il semble donc que ce cheval de Troie soit utilisé depuis plus d'un an. Les criminels s'appuient sur un large éventail d'exploits et d'outils d'escalade de privilèges pour donner à l'implant la possibilité de manipuler les paramètres Windows.
Ce qui est surprenant avec la porte dérobée, c'est qu'elle fonctionne comme une extension pour les serveurs IIS. Cela peut rendre la détection encore plus difficile. De plus, cela montre que les auteurs de la porte dérobée IISpy connaissent très bien les fonctionnalités et les performances de Windows Internet Information Services.
Que fait la porte dérobée IISpy ?
Puisqu'il s'exécute comme une extension pour IIS, IISpy Backdoor est capable d'espionner facilement le trafic HTTP et de mélanger sa propre communication avec des requêtes réseau légitimes. Cela rend la détection plus difficile à moins que la victime n'utilise les outils de surveillance de réseau appropriés pour capturer les connexions douteuses. Une fois que la porte dérobée a réussi à compromettre un serveur, ses opérateurs ont la possibilité d'effectuer les tâches suivantes :
- Recevez des détails matériels et logiciels sur la victime.
- Charger ou télécharger des fichiers.
- Exécuter des fichiers et des commandes à distance.
- Ouvrez une coque inversée.
- Gérer les fichiers et dossiers sur la machine infectée.
- Exfiltrez des fichiers.
En règle générale, les logiciels malveillants IIS sont beaucoup plus fouineurs lorsqu'il s'agit de communiquer avec le serveur distant ou d'exfiltrer des données. Ils s'appuient sur des en-têtes HTTP spécifiques ou des mots de passe et clés spéciaux pour effectuer des tâches telles que l'exécution de code à distance. IISpy Backdoor, cependant, utilise une technique plus avancée, ce qui rend la prise d'empreintes digitales des paquets dangereux beaucoup plus difficile.
Jusqu'à présent, il n'y a pas suffisamment d'informations pour déterminer les vecteurs d'infection utilisés pour fournir la porte dérobée IISpy. De plus, les chercheurs n'ont pu associer aucun groupe menaçant à cette campagne. Des attaques comme celle en question peuvent être contrecarrées en utilisant des protocoles de sécurité réseau, des politiques et un logiciel antivirus appropriés.