攻擊者越來越多地濫用 IIS 擴展來建立隱蔽的后門

威脅參與者越來越多地濫用 Internet 信息服務 (IIS) 擴展來維持目標服務器上的持久性。

微軟警告威脅行為者越來越多地濫用 Internet 信息服務 (IIS) 擴展來在服務器中建立隱蔽的后門并在目標網絡中保持持久性。

IIS 后門也很難檢測，因為它們遵循與合法且無害的模塊相同的代碼結構。

“惡意 IIS 擴展在針對服務器的攻擊中很少遇到，攻擊者通常只使用腳本 Web Shell 作為第一階段的有效負載。與腳本 Web Shell 相比，這導致惡意 IIS 擴展的檢測率相對較低。” 閱讀微軟發布的公告。“IIS 后門也更難檢測，因為它們大多與目標應用程序使用的合法模塊位于相同的目錄中，并且它們遵循與干凈模塊相同的代碼結構。在大多數情況下，實際的后門邏輯很少，如果沒有更廣泛地了解合法 IIS 擴展的工作原理，就不能將其視為惡意，這也使得確定感染源變得困難。”

攻擊者通常利用托管應用程序中的一個關鍵漏洞來獲得初始訪問權限，并將腳本 Web shell 作為攻擊鏈的第一階段。然后使用 web shell 安裝一個惡意 IIS 模塊，該模塊建立對難以發現的服務器的持久訪問。Shell 還監視傳入和傳出請求并運行遠程攻擊者發送的命令，它還允許攻擊者在用戶對 Web 應用程序進行身份驗證時在后臺轉儲憑據。

7 月初，卡巴斯基實驗室的研究人員發現了一個新的“SessionManager”后門，該后門自 2021 年 3 月以來一直用于針對 Microsoft IIS 服務器的攻擊。

SessionManager 是用 C++ 編寫的，它是一個惡意的 本機代碼 IIS 模塊 ，由一些 IIS 應用程序加載，用于處理不斷發送到服務器的合法 HTTP 請求。

攻擊者正在探索 Exchange Server 中的ProxyLogon漏洞以啟動 SessionManager。

微軟研究人員還詳細介紹了發生在 2022 年 1 月至 2022 年 5 月之間的活動，攻擊者利用 ProxyShell 漏洞針對 Exchange 服務器，最終部署了一個名為“FinanceSvcModel.dll”的后門。

“經過一段時間的偵察、轉儲憑據和建立遠程訪問方法后，攻擊者在文件夾 C:\inetpub\wwwroot\bin\ 中安裝了一個名為 FinanceSvcModel.dll 的自定義 IIS 后門。后門具有執行 Exchange 管理操作的內置功能，例如枚舉已安裝的郵箱帳戶和導出郵箱以進行滲透，如下所述。” 繼續分析。

微軟將過去一年觀察到的惡意 IIS 擴展分為以下幾類：

• 基于 Web shell 的變體；
• 開源變體；
• IIS 處理程序；
• 憑證竊取者；

為了減輕 ISS 后門攻擊，專家建議：

• 安裝最新的安全更新，尤其是服務器組件；
• 啟用防病毒和其他安全保護；
• 審查敏感角色和群體；
• 通過應用最小權限原則限制訪問；
• 優先級警報；
• 檢查配置文件和 bin 文件夾