IISpy Backdoor gaat achter Microsoft IIS-servers aan
De IISpy Backdoor is een gevaarlijke trojan die zich richt op een bepaalde Windows-service - de Internet Information Services (IIS). Het doel van de malware is verkenning en spionage. Dit is de reden waarom het zich richt op taken waarmee het detectie kan omzeilen en zo lang mogelijk kan blijven bestaan. Volgens experts dateren de eerste voorbeelden van de IISpy Backdoor van juli 2020, dus het lijkt erop dat deze Trojan al meer dan een jaar in gebruik is. De criminelen vertrouwen op een breed scala aan misbruik van bevoegdheden en tools om het implantaat de mogelijkheid te geven om Windows-instellingen te manipuleren.
Het verrassende aan de achterdeur is dat deze werkt als een extensie voor IIS-servers. Dit kan detectie nog moeilijker maken. Verder laat het zien dat de auteurs van de IISpy Backdoor zeer goed bekend zijn met de functionaliteit en prestaties van Windows Internet Information Services.
Wat doet de IISpy Backdoor?
Omdat het werkt als een extensie voor IIS, kan de IISpy Backdoor gemakkelijk HTTP-verkeer bespioneren en zijn eigen communicatie combineren met legitieme netwerkverzoeken. Dit maakt detectie moeilijker, tenzij het slachtoffer de juiste tools voor netwerkbewaking gebruikt om de duistere verbindingen vast te leggen. Nadat de achterdeur een server succesvol heeft gecompromitteerd, krijgen de operators de mogelijkheid om de volgende taken uit te voeren:
- Ontvang hardware- en softwaregegevens over het slachtoffer.
- Upload of download bestanden.
- Voer bestanden en externe opdrachten uit.
- Open een omgekeerde schaal.
- Beheer bestanden en mappen op de geïnfecteerde machine.
- Exfiltreer bestanden.
Doorgaans is IIS-malware een stuk luidruchtiger als het gaat om communicatie met de externe server of het exfiltreren van gegevens. Ze vertrouwen op specifieke HTTP-headers of speciale wachtwoorden en sleutels om taken uit te voeren, zoals het uitvoeren van externe code. IISpy Backdoor maakt echter gebruik van een meer geavanceerde techniek, die het vingerafdrukken van de gevaarlijke pakketten veel moeilijker maakt.
Tot nu toe is er onvoldoende informatie om de infectievectoren te bepalen die worden gebruikt om de IISpy Backdoor af te leveren. Bovendien hebben onderzoekers geen enkele dreigingsgroep aan deze campagne kunnen koppelen. Aanvallen zoals die in kwestie kunnen worden verijdeld door de juiste netwerkbeveiligingsprotocollen, -beleid en antivirussoftware te gebruiken.