IISpy 後門攻擊 Microsoft IIS 服務器
IISpy 後門是一種危險的木馬,它針對特定的 Windows 服務——Internet 信息服務 (IIS)。惡意軟件的目標是偵察和間諜活動。這就是為什麼它專注於使其能夠逃避檢測並儘可能長時間持續存在的任務。據專家介紹,IISpy 後門的第一個樣本可以追溯到 2020 年 7 月,因此該木馬似乎已經使用了一年多。犯罪分子依靠廣泛的特權提升漏洞和工具來使植入程序能夠操縱 Windows 設置。
後門令人驚訝的是它的工作方式類似於 IIS 服務器的擴展。這可能會使檢測更加困難。此外,這表明 IISpy 後門的作者非常熟悉 Windows Internet 信息服務的功能和性能。
IISpy 後門有什麼作用?
由於它作為 IIS 的擴展運行,IISpy 後門能夠輕鬆監視 HTTP 流量並將其自己的通信與合法的網絡請求混合。這使得檢測更加困難,除非受害者使用適當的網絡監控工具來捕獲可疑連接。後門成功入侵服務器後,其操作員可以獲得執行以下任務的能力:
- 接收有關受害者的硬件和軟件詳細信息。
- 上傳或下載文件。
- 執行文件和遠程命令。
- 打開一個反向shell。
- 管理受感染機器上的文件和文件夾。
- 滲出文件。
通常,IIS 惡意軟件在與遠程服務器進行通信或洩露數據時會更加煩人。它們依靠特定的 HTTP 標頭或特殊的密碼和密鑰來完成遠程代碼執行等任務。然而,IISpy 後門使用了一種更先進的技術,這使得對危險數據包進行指紋識別變得更加困難。
到目前為止,沒有足夠的信息來確定用於傳送 IISpy 後門的感染媒介。此外,研究人員無法將任何威脅組織與此活動聯繫起來。通過使用適當的網絡安全協議、策略和防病毒軟件,可以阻止類似的攻擊。