„IISpy Backdoor“ eina po „Microsoft IIS“ serverių
„IISpy Backdoor“ yra pavojingas Trojos arklys, skirtas konkrečiai „Windows“ paslaugai - interneto informacijos paslaugoms (IIS.). Kenkėjiškos programos tikslas yra žvalgyba ir šnipinėjimas. Štai kodėl ji sutelkia dėmesį į užduotis, kurios leistų išvengti aptikimo ir išlikti kuo ilgiau. Pasak ekspertų, pirmieji „IISpy Backdoor“ pavyzdžiai yra 2020 m. Liepos mėn., Todėl atrodo, kad šis Trojos arklys buvo naudojamas daugiau nei metus. Nusikaltėliai remiasi daugybe privilegijų didinimo būdų ir įrankių, kad implantas galėtų manipuliuoti „Windows“ nustatymais.
Stebina „backdoor“ tai, kad jis veikia kaip IIS serverių plėtinys. Tai gali dar labiau apsunkinti aptikimą. Be to, tai rodo, kad „IISpy Backdoor“ autoriai yra labai gerai susipažinę su „Windows“ interneto informacijos paslaugų funkcionalumu ir našumu.
Ką veikia „IISpy Backdoor“?
Kadangi „IISpy Backdoor“ veikia kaip IIS plėtinys, jis gali lengvai šnipinėti HTTP srautą ir sumaišyti savo bendravimą su teisėtomis tinklo užklausomis. Tai apsunkina aptikimą, nebent nukentėjusysis naudoja tinkamas tinklo stebėjimo priemones, kad užfiksuotų šešėlinius ryšius. Po to, kai užpakalinės durys sėkmingai pažeidžia serverį, jo operatoriai įgyja galimybę atlikti šias užduotis:
- Gaukite aparatinės ir programinės įrangos informaciją apie auką.
- Įkelkite arba atsisiųskite failus.
- Vykdyti failus ir nuotolines komandas.
- Atidarykite atvirkštinį apvalkalą.
- Tvarkykite failus ir aplankus užkrėstoje mašinoje.
- Filtruoti failus.
Paprastai IIS kenkėjiška programa yra daug blogesnė, kai kalbama apie ryšį su nuotoliniu serveriu arba duomenų filtravimą. Jie atlieka konkrečias HTTP antraštes arba specialius slaptažodžius ir raktus, kad atliktų tokias užduotis kaip nuotolinis kodo vykdymas. Tačiau „IISpy Backdoor“ naudoja pažangesnę techniką, todėl pavojingų paketų pirštų atspaudai žymiai apsunkinami.
Kol kas nepakanka informacijos infekcijos vektoriams, naudojamiems „IISpy Backdoor“ pristatyti, nustatyti. Be to, mokslininkai negalėjo susieti jokių grėsmių grupių su šia kampanija. Tokios atakos gali būti užkirstos kelią naudojant tinkamus tinklo saugos protokolus, politiką ir antivirusinę programinę įrangą.
