恶意IIS扩展在网络罪犯中越来越流行，以实现持久访问

威胁参与者越来越多地滥用互联网信息服务（IIS）对后门服务器的扩展，作为建立“持久性机制”的手段。

这是根据微软365 Defender研究团队发出的新警告，该团队表示“IIS后门也更难检测，因为它们大多与目标应用程序使用的合法模块位于同一目录中，并且遵循与干净模块相同的代码结构。”

采用这种方法的攻击链开始于将托管应用程序中的关键漏洞武器化以进行初始访问，并使用此立足点丢弃脚本web shell作为第一阶段有效负载。

然后，这个web shell成为安装恶意IIS模块的管道，以提供对服务器的高度隐蔽和持久访问，此外还可以监视传入和传出的请求以及运行远程命令。

这家科技巨头在2022年1月至5月期间观察到的另一组攻击中，Exchange服务器通过利用ProxyShell漏洞成为网络外壳攻击的目标，这最终导致部署了一个名为“FinanceSvcModel.dll”的后门，但不是在一段侦察期之前。

安全研究员Hardik Suri解释说：“后门内置了执行Exchange管理操作的功能，例如枚举已安装的邮箱帐户并导出邮箱进行过滤”。

为了减轻此类攻击，建议尽快应用服务器组件的最新安全更新，启用防病毒和其他保护，审查敏感角色和组，并通过实践最小权限原则和保持良好的凭据卫生来限制访问。