Az IISpy hátsó ajtó a Microsoft IIS kiszolgálók után megy
Az IISpy Backdoor veszélyes trójai, amely egy bizonyos Windows szolgáltatást - az Internet Information Services (IIS.) - céloz meg. A rosszindulatú program célja a felderítés és a kémkedés. Ezért olyan feladatokra összpontosít, amelyek lehetővé teszik számára, hogy elkerülje az észlelést és a lehető leghosszabb ideig fennmaradjon. Szakértők szerint az IISpy Backdoor első mintái 2020 júliusába nyúlnak vissza, így úgy tűnik, hogy ez a trójai több mint egy éve használatban van. A bűnözők a privilégiumok széles körű kihasználására és eszközökre támaszkodva biztosítják az implantátum számára a Windows beállításainak manipulálását.
Ami meglepő a hátsó ajtóban, az az, hogy úgy működik, mint az IIS kiszolgálók kiterjesztése. Ez még megnehezítheti a felismerést. Továbbá azt mutatja, hogy az IISpy Backdoor szerzői nagyon jól ismerik a Windows Internet Information Services funkcióit és teljesítményét.
Mit csinál az IISpy hátsó ajtó?
Mivel az IIS kiterjesztéseként fut, az IISpy Backdoor könnyen kémkedhet a HTTP forgalom után, és összekeverheti saját kommunikációját a jogos hálózati kérésekkel. Ez megnehezíti az észlelést, hacsak az áldozat nem használja a megfelelő hálózati megfigyelő eszközöket az árnyékos kapcsolatok rögzítésére. Miután a hátsó ajtó sikeresen veszélyezteti a szervert, a kezelői a következő feladatok elvégzésére képesek:
- Kapjon hardver- és szoftverinformációkat az áldozatról.
- Fájlok feltöltése vagy letöltése.
- Fájlok és távoli parancsok végrehajtása.
- Nyisson meg egy fordított héjat.
- Fájlok és mappák kezelése a fertőzött gépen.
- Fájlok kiszűrése.
Általában az IIS rosszindulatú programok sokkal rosszabbak, ha a távoli szerverrel való kommunikációról vagy az adatok kiszűréséről van szó. Speciális HTTP fejlécekre vagy speciális jelszavakra és kulcsokra támaszkodnak olyan feladatok elvégzéséhez, mint a kód távoli végrehajtása. Az IISpy Backdoor azonban fejlettebb technikát alkalmaz, ami sokkal nehezebbé teszi a veszélyes csomagok ujjlenyomatát.
Eddig nincs elegendő információ az IISpy Backdoor szállítására használt fertőző vektorok meghatározásához. Továbbá a kutatók nem tudtak egyetlen fenyegetéscsoportot sem ehhez a kampányhoz kötni. A szóban forgóhoz hasonló támadások meghiúsulhatnak megfelelő hálózati biztonsági protokollok, házirendek és víruskereső szoftverek használatával.