IISpy 后门攻击 Microsoft IIS 服务器
IISpy 后门是一种危险的木马,它针对特定的 Windows 服务——Internet 信息服务 (IIS)。恶意软件的目标是侦察和间谍活动。这就是为什么它专注于使其能够逃避检测并尽可能长时间持续存在的任务。据专家介绍,IISpy 后门的第一个样本可以追溯到 2020 年 7 月,因此该木马似乎已经使用了一年多。犯罪分子依靠广泛的特权提升漏洞和工具来使植入程序能够操纵 Windows 设置。
后门令人惊讶的是它的工作方式类似于 IIS 服务器的扩展。这可能会使检测更加困难。此外,这表明 IISpy 后门的作者非常熟悉 Windows Internet 信息服务的功能和性能。
IISpy 后门有什么作用?
由于它作为 IIS 的扩展运行,IISpy 后门能够轻松监视 HTTP 流量并将其自己的通信与合法的网络请求混合。这使得检测更加困难,除非受害者使用适当的网络监控工具来捕获可疑连接。后门成功入侵服务器后,其操作员可以获得执行以下任务的能力:
- 接收有关受害者的硬件和软件详细信息。
- 上传或下载文件。
- 执行文件和远程命令。
- 打开一个反向shell。
- 管理受感染机器上的文件和文件夹。
- 渗出文件。
通常,IIS 恶意软件在与远程服务器通信或窃取数据时会更加烦人。它们依靠特定的 HTTP 标头或特殊的密码和密钥来完成远程代码执行等任务。然而,IISpy 后门使用了一种更先进的技术,这使得对危险数据包进行指纹识别变得更加困难。
到目前为止,没有足够的信息来确定用于传送 IISpy 后门的感染媒介。此外,研究人员无法将任何威胁组织与此活动联系起来。通过使用适当的网络安全协议、策略和防病毒软件,可以阻止类似的攻击。