微软：IIS 扩展正越来越多地用作 Exchange 后门

据Bleeping Computer网站7月26日消息，微软 365 Defender 研究团队在当天公布的一项研究调查中表示，攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展，对未打补丁的 Exchange 服务器部署后门。

与Web Shell相比，利用IIS 扩展能让后门更加隐蔽，通常很难检测到其安装的确切位置，并且使用与合法模块相同的结构，为攻击者提供了近乎完美的持久性机制。

根据微软 365 Defender 研究团队的说法，在大多数情况下检测到的实际后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意进程，这也使得确定感染源变得更加困难。

 对受感染服务器的持续访问  

在利用托管应用程序中各种未修补的安全漏洞攻击服务器后，攻击者通常会在 Web Shell中 先部署一个有效负载，并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后，恶意 IIS 模块允许攻击者从系统内存中获取凭证，从受害者的网络和受感染设备收集信息，并提供更多有效负载。

在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中，微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门，以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。

【图：作为IIS处理程序安装的IIS后门示例】

此外，卡巴斯基也曾注意到了类似的情况，去年 12 月，一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示，一旦进入受害者的系统，攻击者就可以访问公司电子邮件，通过安装其他类型的恶意软件，秘密管理受感染的服务器来实施更进一步的恶意访问，并将这些服务器用作恶意基础设施。

为防御使用恶意 IIS 模块的攻击，微软建议用户保持 Exchange 服务器处于最新状态，在保持反恶意软件等防护程序开启的同时，检查敏感角色和组，限制对 IIS 虚拟目录的访问，确定告警的优先级并检查配置文件和 bin 文件夹。