IISpyバックドアはMicrosoftIISサーバーを追いかけます
IISpyバックドアは、特定のWindowsサービスであるインターネットインフォメーションサービス(IIS)を標的とする危険なトロイの木馬です。マルウェアの目的は、偵察とスパイ活動です。これが、検出を回避し、可能な限り長く持続することを可能にするタスクに焦点を当てている理由です。専門家によると、IISpyバックドアの最初のサンプルは2020年7月にさかのぼるので、このトロイの木馬は1年以上使用されているようです。犯罪者は、インプラントにWindows設定を操作する機能を提供するために、さまざまな特権昇格のエクスプロイトとツールに依存しています。
バックドアの驚くべき点は、IISサーバーの拡張機能のように機能することです。これにより、検出がさらに困難になる場合があります。さらに、IISpyバックドアの作成者がWindowsインターネットインフォメーションサービスの機能とパフォーマンスに非常に精通していることを示しています。
IISpyバックドアは何をしますか?
IISpyバックドアはIISの拡張機能として実行されるため、HTTPトラフィックを簡単にスパイし、独自の通信を正当なネットワーク要求と組み合わせることができます。これにより、被害者が適切なネットワーク監視ツールを使用して日陰の接続をキャプチャしない限り、検出がより困難になります。バックドアがサーバーを正常に侵害した後、そのオペレーターは次のタスクを実行できるようになります。
- 被害者に関するハードウェアとソフトウェアの詳細を受け取ります。
- ファイルをアップロードまたはダウンロードします。
- ファイルとリモートコマンドを実行します。
- リバースシェルを開きます。
- 感染したマシン上のファイルとフォルダを管理します。
- ファイルを盗み出します。
通常、IISマルウェアは、リモートサーバーとの通信やデータの盗用に関しては非常に騒がしいものです。これらは、リモートコード実行などのタスクを完了するために、特定のHTTPヘッダーまたは特別なパスワードとキーに依存しています。ただし、IISpy Backdoorはより高度な技術を使用しているため、危険なパケットのフィンガープリントを作成するのがはるかに困難になります。
これまでのところ、IISpyバックドアの配信に使用される感染ベクトルを特定するための十分な情報はありません。さらに、研究者は脅威グループをこのキャンペーンにリンクすることができませんでした。問題のような攻撃は、適切なネットワークセキュリティプロトコル、ポリシー、およびウイルス対策ソフトウェアを使用することで阻止できます。