IISerpent Trojan

Der IISerpent-Trojaner ist eine besondere Malware-Bedrohung, die auf die Webserver-Software von Microsoft für Internetinformationsdienste abzielt. Die Bedrohung wird als beschädigte Erweiterung in eine IIS-Installation eingefügt. Im Gegensatz zu anderen ISS-Malware-Bedrohungen besteht das Ziel von IISerpent nicht darin, sensible Informationen (Kredit-/Debitkartennummern) zu sammeln oder Backdoor-Befehle auf den kompromittierten Systemen auszuführen. Die Funktionalität von IISerpent kann am besten als SEO-Betrug (Suchmaschinenoptimierung) beschrieben werden, der als Service angeboten wird. Die Bedrohung verwendet unethische SEO-Techniken, ein Verhalten, das als Black Hat SEO bekannt ist, und versucht, das Ranking von Seiten von Drittanbietern zu verbessern, die höchstwahrscheinlich den Kunden gehören, die für die Dienste der Hacker bezahlen.

Technische Details

IISerpent ist ein natives IIS-Modul. Sie wird als C++-DLL implementiert und der Datei %windir%\system32\inetsrv\config\ApplicationHost.config hinzugefügt. Dadurch wird sowohl die Ausführung als auch die Persistenz auf dem infizierten System sichergestellt. Sobald sie vollständig eingerichtet ist, beginnt die Malware, alle eingehenden HTTP-Anfragen an Websites abzufangen, die auf dem Server gehostet werden. IISerpent wirkt sich jedoch nicht direkt auf den kompromittierten Server oder die Benutzer des Servers aus. Die Malware ignoriert alle Anfragen von legitimen Besuchern vollständig. Es interessiert sich nur für Anfragen, die mit Suchmaschinen-Crawlern verbunden sind und zeigt ihnen dann unterschiedliche Inhalte an, was sich auf der eigentlichen Seite befindet. Der neue Inhalt wird entweder vom C&C-Server (Command-and-Control) der Operation oder einer lokalen Konfigurationsdatei geholt.

Angewandte SEO-Techniken

Suchmaschinen-Crawler sind dafür verantwortlich, das Internet zu durchsuchen und den Inhalt der gefundenen Seiten zu analysieren. Der von diesen Bots gescannte Inhalt durchläuft einen komplexen Algorithmus, der das Ranking jeder Seite in Bezug auf bestimmte Suchbegriffe bestimmt. Die Steigerung des Rangs Ihrer Seite bedeutet eine Erhöhung der Sichtbarkeit und des potenziellen Traffics.

Um dieses Ziel zu erreichen, sind einige Seitenbetreiber bereit, zwielichtige SEO-Taktiken anzuwenden. IISerpent verlässt sich auf genau solche Techniken, um die Rankings von Websites Dritter zu verbessern, indem es die Rankings auf den Websites auf dem kompromittierten Server ausnutzt. Genauer gesagt verwendet IISerepent zwei Kernmethoden:

1. Es leitet die Suchmaschinen auf eine speziell ausgewählte Website um und verwandelt sie in eine Doorway-Seite.
2. Es fügt eine Liste vorkonfigurierter Backlinks in die HTTP-Antwort ein, die an die Suchmaschinen-Crawler geliefert wird. Diese Methode verwandelt die von der Bedrohung kompromitierten Server effektiv in Linkfarmen.

Folgen der IISerpent-Infektion

Es stimmt zwar, dass die Aktionen von IISerpent die rechtmäßigen Besucher der Sites in keiner Weise beeinträchtigen, seine Präsenz sollte jedoch nicht auf die leichte Schulter genommen werden. Die Bedrohung kapert den Ruf der kompromittierten Websites und setzt unethische SEO-Praktiken ein, um Suchmaschinen-Crawler zu täuschen. Beide Aktivitäten werden schließlich von den Engines bemerkt und können dazu führen, dass die beteiligten Websites bestraft werden, ohne dass sie bereit sind, an dem Programm teilzunehmen. Danach könnte es ein kostspieliger und extrem zeitaufwändiger Prozess sein, ihren Ruf zu bereinigen und die Strafen aufzuheben. Um solche unangenehmen Ergebnisse zu vermeiden, halten Sie Ihre IIS-Server auf dem neuesten Stand, laden Sie keine Erweiterungen aus ungeprüften Quellen herunter und ziehen Sie in Betracht, eine Firewall-Anwendung oder eine Sicherheitslösung auf dem Server hinzuzufügen.