IISpy Backdoor idzie po serwerach Microsoft IIS
IISpy Backdoor to niebezpieczny trojan, którego celem jest konkretna usługa systemu Windows – Internetowe usługi informacyjne (IIS). Celem szkodliwego oprogramowania jest rozpoznanie i szpiegostwo. Dlatego skupia się na zadaniach, które pozwolą mu uniknąć wykrycia i utrzymać się tak długo, jak to możliwe. Według ekspertów pierwsze próbki IISpy Backdoor pochodzą z lipca 2020 r., więc wygląda na to, że trojan ten był używany od ponad roku. Przestępcy polegają na szerokiej gamie exploitów i narzędzi służących do eskalacji uprawnień, aby umożliwić implantowi manipulowanie ustawieniami systemu Windows.
Zaskakujące jest to, że backdoor działa jak rozszerzenie dla serwerów IIS. Może to utrudnić wykrywanie. Ponadto pokazuje, że autorzy IISpy Backdoor są bardzo zaznajomieni z funkcjonalnością i wydajnością Internetowych usług informacyjnych systemu Windows.
Co robi backdoor IISpy?
Ponieważ działa jako rozszerzenie dla IIS, IISpy Backdoor jest w stanie łatwo szpiegować ruch HTTP i mieszać własną komunikację z uzasadnionymi żądaniami sieciowymi. To sprawia, że wykrywanie jest trudniejsze, chyba że ofiara użyje odpowiednich narzędzi do monitorowania sieci w celu przechwycenia podejrzanych połączeń. Po udanym włamaniu się backdoora do serwera, jego operatorzy zyskują możliwość wykonywania następujących zadań:
- Otrzymuj szczegółowe informacje o sprzęcie i oprogramowaniu dotyczące ofiary.
- Prześlij lub pobierz pliki.
- Wykonywanie plików i poleceń zdalnych.
- Otwórz odwróconą powłokę.
- Zarządzaj plikami i folderami na zainfekowanej maszynie.
- Eksfiltruj pliki.
Zazwyczaj złośliwe oprogramowanie IIS jest dużo głośniejsze, jeśli chodzi o komunikację ze zdalnym serwerem lub eksfiltrację danych. Polegają na określonych nagłówkach HTTP lub specjalnych hasłach i kluczach do wykonywania zadań, takich jak zdalne wykonanie kodu. IISpy Backdoor wykorzystuje jednak bardziej zaawansowaną technikę, która znacznie utrudnia pobieranie odcisków palców niebezpiecznych pakietów.
Jak dotąd nie ma wystarczających informacji, aby określić wektory infekcji wykorzystywane do dostarczania backdoora IISpy. Co więcej, badacze nie byli w stanie powiązać żadnej grupy zagrożeń z tą kampanią. Ataki takie jak ten, o którym mowa, można udaremnić, stosując odpowiednie protokoły bezpieczeństwa sieci, zasady i oprogramowanie antywirusowe.