攻击者越来越多地滥用 IIS 扩展来建立隐蔽的后门

威胁参与者越来越多地滥用 Internet 信息服务 (IIS) 扩展来维持目标服务器上的持久性。

微软警告威胁行为者越来越多地滥用 Internet 信息服务 (IIS) 扩展来在服务器中建立隐蔽的后门并在目标网络中保持持久性。

IIS 后门也很难检测，因为它们遵循与合法且无害的模块相同的代码结构。

“恶意 IIS 扩展在针对服务器的攻击中很少遇到，攻击者通常只使用脚本 Web Shell 作为第一阶段的有效负载。与脚本 Web Shell 相比，这导致恶意 IIS 扩展的检测率相对较低。” 阅读微软发布的公告。“IIS 后门也更难检测，因为它们大多与目标应用程序使用的合法模块位于相同的目录中，并且它们遵循与干净模块相同的代码结构。在大多数情况下，实际的后门逻辑很少，如果没有更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意，这也使得确定感染源变得困难。”

攻击者通常利用托管应用程序中的一个关键漏洞来获得初始访问权限，并将脚本 Web shell 作为攻击链的第一阶段。然后使用 web shell 安装一个恶意 IIS 模块，该模块建立对难以发现的服务器的持久访问。Shell 还监视传入和传出请求并运行远程攻击者发送的命令，它还允许攻击者在用户对 Web 应用程序进行身份验证时在后台转储凭据。

7 月初，卡巴斯基实验室的研究人员发现了一个新的“SessionManager”后门，该后门自 2021 年 3 月以来一直用于针对 Microsoft IIS 服务器的攻击。

SessionManager 是用 C++ 编写的，它是一个恶意的 本机代码 IIS 模块 ，由一些 IIS 应用程序加载，用于处理不断发送到服务器的合法 HTTP 请求。

攻击者正在探索 Exchange Server 中的ProxyLogon漏洞以启动 SessionManager。

微软研究人员还详细介绍了发生在 2022 年 1 月至 2022 年 5 月之间的活动，攻击者利用 ProxyShell 漏洞针对 Exchange 服务器，最终部署了一个名为“FinanceSvcModel.dll”的后门。

“经过一段时间的侦察、转储凭据和建立远程访问方法后，攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门。后门具有执行 Exchange 管理操作的内置功能，例如枚举已安装的邮箱帐户和导出邮箱以进行渗透，如下所述。” 继续分析。

微软将过去一年观察到的恶意 IIS 扩展分为以下几类：

• 基于 Web shell 的变体；
• 开源变体；
• IIS 处理程序；
• 凭证窃取者；

为了减轻 ISS 后门攻击，专家建议：

• 安装最新的安全更新，尤其是服务器组件；
• 启用防病毒和其他安全保护；
• 审查敏感角色和群体；
• 通过应用最小权限原则限制访问；
• 优先级警报；
• 检查配置文件和 bin 文件夹