Threat Database Backdoors IISpy Backdoor

IISpy Backdoor

IISpy es una puerta trasera recién detectada que se dirige a Internet Information Services, el software de servidor web desarrollado por Microsoft. La amenaza es capaz de ejecutar comandos corruptos, mientras que sus novedosas técnicas de anti-detección y evasión aseguran la presencia a largo plazo de IISpy en los sistemas comprometidos. Lo más probable es que la cadena de ataque de la operación comience cuando los actores de la amenaza explotan una vulnerabilidad en el servidor IIS para afianzarse. Luego, implementan una herramienta de escalada de privilegios conocida como Juicy Potato. Los atacantes utilizan los privilegios administrativos recibidos para implementar IISpy como una extensión nativa de ISS. Hasta ahora, se han encontrado víctimas de la amenaza en Canadá, Estados Unidos y Holanda.

Capacidades amenazantes

IISpy se implementa en el sistema infectado como un módulo IIS nativo implementado en las carpetas % windir% \ system32 \ inetsrv \ o % windir% \ SysWOW64 \ inetsrv. La amenaza podría llamarse cache.dll o logging.dll . La ejecución y la persistencia se logran configurando IISpy como una extensión de IIS en el archivo de configuración % windir% \ system32 \ inetsrv \ config \ ApplicationHost.config.

Al estar configurado como una extensión de IIS, la amenaza es capaz de ver todas las solicitudes HTTP entrantes en el servidor infectado. Cabe señalar que IISpy actúa como un implante de red pasivo, es decir, no establece la comunicación con su servidor de Comando y Control (C&C, C2). En cambio, los atacantes deben iniciar el contacto con la amenaza enviando una solicitud HTTP especial. La amenaza extrae el comando de puerta trasera incorporado y procede con su ejecución. Todas las solicitudes HTTP legítimas se ignoran y se dejan en manos de los módulos de servidor normales. La funcionalidad amenazante de IISpy incluye recopilar información del sistema, buscar o cargar archivos, ejecutar comandos de shell o archivos, manipular el sistema de archivos, crear un mapeo entre una unidad local y una remota y extraer datos.

Técnicas anti-forenses

A diferencia de las otras puertas traseras IIS observadas que se controlan mediante contraseñas codificadas, encabezados HTTP personalizados o URL específicas, IISpy utiliza una estructura única para sus solicitudes de controlador. Como resultado, los registros de amenazas son más difíciles de identificar. Las respuestas salientes emplean una técnica diferente. La amenaza incrusta su respuesta en una imagen PNG falsa con la información que se inyecta entre los encabezados de los archivos PNG. Toda la comunicación con el servidor C&C está encriptada con AES-CBC y codificada en base64.

Además, IISpy implementa un controlador de eventos OnLogRequest. Permite a la amenaza modificar las entradas de registro relacionadas con las solicitudes entrantes de los atacantes y enmascararlas como solicitudes de aspecto normal.

Tendencias

Mas Visto

Cargando...