IISpy Backdoor

IISpy est une porte dérobée récemment détectée qui cible Internet Information Services, le logiciel de serveur Web développé par Microsoft. La menace est capable d'exécuter des commandes corrompues, tandis que ses nouvelles techniques d'anti-détection et d'évasion assurent la présence à long terme d'IISpy sur les systèmes compromis. La chaîne d'attaque de l'opération commence très probablement par les acteurs de la menace exploitant une vulnérabilité du serveur IIS pour prendre pied. Ensuite, ils déploient un outil d'escalade de privilèges connu sous le nom de Juicy Potato. Les attaquants utilisent les privilèges administratifs reçus pour déployer IISpy en tant qu'extension ISS native. Jusqu'à présent, des victimes de la menace ont été trouvées au Canada, aux États-Unis et aux Pays-Bas.

Capacités menaçantes

IISpy est implémenté sur le système infecté en tant que module IIS natif déployé dans les dossiers %windir%\system32\inetsrv\ ou %windir%\SysWOW64\inetsrv. La menace pourrait être nommée cache.dll ou logging.dll . L'exécution et la persistance sont obtenues en configurant IISpy en tant qu'extension IIS dans le fichier de configuration %windir%\system32\inetsrv\config\ApplicationHost.config.

En étant configurée comme une extension IIS, la menace est capable de voir toutes les requêtes HTTP entrantes sur le serveur infecté. Il est à noter qu'IISpy agit comme un implant réseau passif, c'est-à-dire qu'il n'établit pas la communication avec son serveur Command-and-Control (C&C, C2). Au lieu de cela, les attaquants doivent initier le contact avec la menace en envoyant une requête HTTP spéciale. La menace extrait la commande de porte dérobée intégrée et procède à son exécution. Toutes les requêtes HTTP légitimes sont ignorées et laissées à être gérées par les modules de serveur normaux. La fonctionnalité menaçante d'IISpy comprend la collecte d'informations système, la récupération ou le téléchargement de fichiers, l'exécution de commandes ou de fichiers shell, la manipulation du système de fichiers, la création d'un mappage entre un lecteur local et un lecteur distant et l'exfiltration de données.

Techniques anti-légales

Contrairement aux autres portes dérobées IIS observées qui sont contrôlées via des mots de passe codés en dur, des en-têtes HTTP personnalisés ou des URL spécifiques, IISpy utilise une structure unique pour ses demandes de contrôleur. Par conséquent, les journaux de la menace sont plus difficiles à identifier. Les réponses sortantes utilisent une technique différente. La menace intègre sa réponse dans une fausse image PNG avec les informations injectées entre les en-têtes du fichier PNG. Toutes les communications avec le serveur C&C sont cryptées avec AES-CBC et codées en base64.

De plus, IISpy implémente un gestionnaire d'événements OnLogRequest. Il permet à la menace de modifier les entrées de journal liées aux demandes entrantes des attaquants et de les masquer comme des demandes d'apparence normale.