IISpy Backdoor
IISpy ist eine neu entdeckte Hintertür, die auf Internet Information Services abzielt, die von Microsoft entwickelte Webserver-Software. Die Bedrohung ist in der Lage, beschädigte Befehle auszuführen, während ihre neuartigen Anti-Erkennungs- und Umgehungstechniken die langfristige Präsenz von IISpy auf den kompromittierten Systemen sicherstellen. Die Angriffskette der Operation beginnt höchstwahrscheinlich damit, dass die Angreifer eine Schwachstelle im IIS-Server ausnutzen, um Fuß zu fassen. Danach setzen sie ein Tool zur Rechteausweitung ein, das als Juicy Potato bekannt ist. Die Angreifer verwenden die erhaltenen Administratorrechte, um IISpy als native ISS-Erweiterung bereitzustellen. Bisher wurden Opfer der Bedrohung in Kanada, den USA und den Niederlanden gefunden.
Bedrohungspotenziale
IISpy wird auf dem infizierten System als natives IIS-Modul implementiert, das entweder in den Ordnern %windir%\system32\inetsrv\ oder %windir%\SysWOW64\inetsrv bereitgestellt wird. Die Bedrohung könnte Cache.dll oder Logging.dll heißen. Ausführung und Persistenz werden erreicht, indem IISpy als IIS-Erweiterung in der Konfigurationsdatei %windir%\system32\inetsrv\config\ApplicationHost.config konfiguriert wird.
Durch die Konfiguration als IIS-Erweiterung kann die Bedrohung alle eingehenden HTTP-Anforderungen auf dem infizierten Server sehen. Es ist zu beachten, dass IISpy als passives Netzwerkimplantat agiert, d.h. es stellt keine Kommunikation mit seinem Command-and-Control (C&C, C2) Server her. Stattdessen müssen die Angreifer den Kontakt mit der Bedrohung herstellen, indem sie eine spezielle HTTP-Anfrage senden. Die Bedrohung extrahiert den eingebetteten Backdoor-Befehl und fährt mit seiner Ausführung fort. Alle legitimen HTTP-Anfragen werden ignoriert und den normalen Servermodulen überlassen. Die Bedrohungsfunktion von IISpy umfasst das Sammeln von Systeminformationen, das Abrufen oder Hochladen von Dateien, das Ausführen von Shell-Befehlen oder -Dateien, das Manipulieren des Dateisystems, das Erstellen einer Zuordnung zwischen einem lokalen und einem Remote-Laufwerk und das Exfiltrieren von Daten.
Anti-Forensische Techniken
Im Gegensatz zu den anderen beobachteten IIS-Hintertüren, die über hartcodierte Passwörter, benutzerdefinierte HTTP-Header oder spezifische URLs gesteuert werden, verwendet IISpy eine einzigartige Struktur für seine Controller-Anfragen. Infolgedessen sind die Protokolle der Bedrohung schwerer zu lokalisieren. Die ausgehenden Antworten verwenden eine andere Technik. Die Bedrohung bettet ihre Reaktion in ein gefälschtes PNG-Bild ein, wobei die Informationen zwischen die PNG-Dateiheader eingefügt werden. Die gesamte Kommunikation mit dem C&C-Server ist mit AES-CBC verschlüsselt und base64-codiert.
Darüber hinaus implementiert IISpy einen OnLogRequest-Ereignishandler. Es ermöglicht der Bedrohung, die Protokolleinträge zu den eingehenden Anfragen der Angreifer zu ändern und sie als normal aussehende Anfragen zu maskieren.
