Black Hat USA | 解析多个针对微软IIS Web服务器的恶意软件

对针对 Microsoft Internet Information Services (IIS) 服务器的攻击的系统分析揭示了多达 14 个恶意软件家族，其中 10 个是新记录的，这表明基于 Windows 的 Web 服务器软件仍然是近8年来本地开发的恶意软件的温床。

ESET 恶意软件研究员 Zuzana Hromcova 今天在Black Hat USA 安全会议上公布了调查结果。

“识别出的各种原生 IIS 恶意软件都是服务器端恶意软件，它可以做的最好的两件事是，首先，查看并拦截与服务器的所有通信，其次，影响请求的处理方式，”Hromcova 在一份声明中说道。接受黑客新闻采访。“他们的动机从网络犯罪到间谍活动，以及一种称为 SEO 欺诈的技术。”

IIS 是由 Microsoft 开发的可扩展 Web 服务器软件，使开发人员能够利用其模块化架构并使用其他 IIS 模块来扩展其核心功能。

根据与黑客新闻分享的 ESET 报告，“同样的可扩展性对恶意行为者具有吸引力，这并不奇怪——拦截网络流量、窃取敏感数据或提供恶意内容。”

“此外，终端安全软件在 IIS 服务器上运行的情况非常罕见，这使得攻击者很容易长时间在不被注意的情况下进行操作。这对于所有想要保护其安全的严肃门户网站来说应该是令人不安的。访问者的数据，包括身份验证和付款信息。”

IIS malware phases

该研究收集了 80 多个恶意软件样本，将它们分为 14 个独特的家族（第 1 组到第 14 组），其中大部分是在 2018 年至 2021 年间首次被检测到的，并且目前仍在积极开发中。虽然它们之间可能没有任何联系，但所有 14 个恶意软件家族的共同点是它们都是作为恶意的本机 IIS 模块开发的。

“在所有情况下，IIS 恶意软件的主要目的是处理传入受感染服务器的 HTTP 请求，并影响服务器如何响应（部分）这些请求——它们的处理方式取决于恶意软件类型，”Hromcova 解释道。已发现恶意软件系列以五种模式之一运行 –

• 后门模式– 远程控制安装了 IIS 的受感染计算机
• 信息窃取模式– 拦截受感染服务器与其合法访问者之间的常规流量，以窃取登录凭据和付款信息等信息
• 注入器模式– 修改发送给合法访问者的 HTTP 响应以提供恶意内容
• 代理模式– 将受感染的服务器变成另一个恶意软件家族的命令和控制 (C2) 基础设施的一部分，并中继受害者和实际 C2 服务器之间的通信
• SEO 欺诈模式– 修改提供给搜索引擎爬虫的内容，以人为地提高所选网站的排名

涉及 IIS 恶意软件的感染通常取决于服务器管理员无意中安装了合法 IIS 模块的木马化版本，或者当攻击者能够通过利用 Web 应用程序或服务器中的配置弱点或漏洞来访问服务器时，使用它来安装IIS 模块。

infostealing mechanism

微软在今年 3 月初发布了针对影响 Microsoft Exchange Server 2013、2016 和 2019 的ProxyLogon漏洞的带外补丁后，不久之后多个高级持续威胁 (APT) 组织加入了攻击狂潮，ESET观察到四封电子邮件位于亚洲和南美洲的服务器被入侵以部署用作安装 IIS 后门的通道的 web shell。

这远不是 Microsoft 网络服务器软件第一次成为威胁参与者的有利可图的目标。上个月，以色列网络安全公司 Sygnia 的研究人员披露了一系列有针对性的网络入侵攻击，这些攻击由一个名为Praying Mantis的高级隐秘对手发起，目标是面向互联网的 IIS 服务器，以渗透美国知名的公共和私人实体。

为防止 IIS 服务器受到威胁，建议使用具有强大、唯一密码的专用帐户用于与管理相关的目的，仅从受信任的来源安装本机 IIS 模块，通过限制暴露在 Internet 上的服务来减少攻击面，并使用用于额外安全层的 Web 应用程序防火墙。

“调查中最令人惊讶的方面之一是 IIS 恶意软件的多功能性，以及 [检测] SEO 欺诈犯罪计划，其中恶意软件被滥用来操纵搜索引擎算法并帮助提高第三方网站的声誉，”Hromcova说。“我们以前从未见过这样的事情。”