惡意IIS擴展在網絡罪犯中越來越流行，以實現持久訪問

威脅參與者越來越多地濫用互聯網信息服務（IIS）對后門服務器的擴展，作為建立“持久性機制”的手段。

這是根據微軟365 Defender研究團隊發出的新警告，該團隊表示“IIS后門也更難檢測，因為它們大多與目標應用程序使用的合法模塊位于同一目錄中，并且遵循與干凈模塊相同的代碼結構。”

采用這種方法的攻擊鏈開始于將托管應用程序中的關鍵漏洞武器化以進行初始訪問，并使用此立足點丟棄腳本web shell作為第一階段有效負載。

然后，這個web shell成為安裝惡意IIS模塊的管道，以提供對服務器的高度隱蔽和持久訪問，此外還可以監視傳入和傳出的請求以及運行遠程命令。

這家科技巨頭在2022年1月至5月期間觀察到的另一組攻擊中，Exchange服務器通過利用ProxyShell漏洞成為網絡外殼攻擊的目標，這最終導致部署了一個名為“FinanceSvcModel.dll”的后門，但不是在一段偵察期之前。

安全研究員Hardik Suri解釋說：“后門內置了執行Exchange管理操作的功能，例如枚舉已安裝的郵箱帳戶并導出郵箱進行過濾”。

為了減輕此類攻擊，建議盡快應用服務器組件的最新安全更新，啟用防病毒和其他保護，審查敏感角色和組，并通過實踐最小權限原則和保持良好的憑據衛生來限制訪問。