据Bleeping Computer网站7月26日消息,微软 365 Defender 研究团队在当天公布的一项研究调查中表示,攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展,对未打补丁的 Exchange 服务器部署后门。
与Web Shell相比,利用IIS 扩展能让后门更加隐蔽,通常很难检测到其安装的确切位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。
根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。
对受感染服务器的持续访问
在利用托管应用程序中各种未修补的安全漏洞攻击服务器后,攻击者通常会在 Web Shell中 先部署一个有效负载,并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后,恶意 IIS 模块允许攻击者从系统内存中获取凭证,从受害者的网络和受感染设备收集信息,并提供更多有效负载。
在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中,微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门,以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。
作为 IIS 处理程序安装的 IIS 后门示例
此外,卡巴斯基也曾注意到了类似的情况,去年 12 月,一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以访问公司电子邮件,通过安装其他类型的恶意软件,秘密管理受感染的服务器来实施更进一步的恶意访问,并将这些服务器用作恶意基础设施。
为防御使用恶意 IIS 模块的攻击,微软建议用户保持 Exchange 服务器处于最新状态,在保持反恶意软件等防护程序开启的同时,检查敏感角色和组,限制对 IIS 虚拟目录的访问,确定告警的优先级并检查配置文件和 bin 文件夹。