La porte dérobée IISpy s'attaque aux serveurs Microsoft IIS

La porte dérobée IISpy est un cheval de Troie dangereux, qui cible un service Windows particulier - les services d'information Internet (IIS). Le but du malware est la reconnaissance et l'espionnage. C'est pourquoi il se concentre sur des tâches qui lui permettraient d'échapper à la détection et de persister le plus longtemps possible. Selon les experts, les premiers échantillons de la porte dérobée IISpy remontent à juillet 2020, il semble donc que ce cheval de Troie soit utilisé depuis plus d'un an. Les criminels s'appuient sur un large éventail d'exploits et d'outils d'escalade de privilèges pour donner à l'implant la possibilité de manipuler les paramètres Windows.

Ce qui est surprenant avec la porte dérobée, c'est qu'elle fonctionne comme une extension pour les serveurs IIS. Cela peut rendre la détection encore plus difficile. De plus, cela montre que les auteurs de la porte dérobée IISpy connaissent très bien les fonctionnalités et les performances de Windows Internet Information Services.

Que fait la porte dérobée IISpy ?

Puisqu'il s'exécute comme une extension pour IIS, IISpy Backdoor est capable d'espionner facilement le trafic HTTP et de mélanger sa propre communication avec des requêtes réseau légitimes. Cela rend la détection plus difficile à moins que la victime n'utilise les outils de surveillance de réseau appropriés pour capturer les connexions douteuses. Une fois que la porte dérobée a réussi à compromettre un serveur, ses opérateurs ont la possibilité d'effectuer les tâches suivantes :

  • Recevez des détails matériels et logiciels sur la victime.
  • Charger ou télécharger des fichiers.
  • Exécuter des fichiers et des commandes à distance.
  • Ouvrez une coque inversée.
  • Gérer les fichiers et dossiers sur la machine infectée.
  • Exfiltrez des fichiers.

En règle générale, les logiciels malveillants IIS sont beaucoup plus fouineurs lorsqu'il s'agit de communiquer avec le serveur distant ou d'exfiltrer des données. Ils s'appuient sur des en-têtes HTTP spécifiques ou des mots de passe et clés spéciaux pour effectuer des tâches telles que l'exécution de code à distance. IISpy Backdoor, cependant, utilise une technique plus avancée, ce qui rend la prise d'empreintes digitales des paquets dangereux beaucoup plus difficile.

 

Jusqu'à présent, il n'y a pas suffisamment d'informations pour déterminer les vecteurs d'infection utilisés pour fournir la porte dérobée IISpy. De plus, les chercheurs n'ont pu associer aucun groupe menaçant à cette campagne. Des attaques comme celle en question peuvent être contrecarrées en utilisant des protocoles de sécurité réseau, des politiques et un logiciel antivirus appropriés.

August 12, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.