ニュース速報+

【PC】ESET、マイクロソフトのウェブサーバーソフトウェアに仕掛けられる新たなバックドアを検出 「IISpy」と命名、長期的にスパイ活動 [樽悶★]

1 :樽悶 ★:2021/12/01(水) 19:58:23.52 ID:9ODmz3Qu9.net
図1. IISpyバックドアの管理の仕組み

図2. IISpyを管理するHTTPリクエストの形式

図3. IISpyのRegisterModuleエクスポート

図4. IISpyのコアクラスは、3つのイベントハンドラを実装

図5. IISpyは攻撃者のリクエストに関するログエントリを変更する

 ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。

■攻撃の概要

 ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。

 ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。

 IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。

 利用されるバックドアコマンドは以下のとおりです。

・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信

 IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。

※省略

 IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。

 たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)

2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/

12 :ニューノーマルの名無しさん:2021/12/01(水) 20:11:05.08 ID:b3zf3p/80.net

pup Genericって検出して手に負えなさそうだから初期期しちゃったよ

50 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:03.92 ID:WIIL1ArA0.net

WSLの追加アプリケーションのためにXWindowアプリ入れたらおかしくなった

20 :ニューノーマルの名無しさん:2021/12/01(水) 20:32:50.63 ID:gdlFlSMN0.net

で、どうすればいいの?

40 :ニューノーマルの名無しさん:2021/12/01(水) 21:04:27.93 ID:apPXiXs60.net

私、何言ってるかわかりません。
これ誰が悪いのですか?
私はどうしたらいいのでしょうか?

28 :ニューノーマルの名無しさん:2021/12/01(水) 20:44:50.06 ID:+GpU8TmW0.net

アンインストールが面倒臭いやつだな

30 :ニューノーマルの名無しさん:2021/12/01(水) 20:46:55.29 ID:PtzRIAgn0.net

良い名前付けたった! ってニヤニヤしてんのかな

6 :ニューノーマルの名無しさん:2021/12/01(水) 20:01:21.65 ID:51x2lw6u0.net

ESETダウンロードしなければ…

53 :ニューノーマルの名無しさん:2021/12/01(水) 21:22:19.02 ID:+MuibdJR0.net

>>49
定期再起動して使ってるよ(白目)

18 :ニューノーマルの名無しさん:2021/12/01(水) 20:28:32.49 ID:yyYigyrB0.net

よくできてんな

63 :ニューノーマルの名無しさん:2021/12/01(水) 22:05:54.82 ID:7DJDZK5r0.net

ESETなんか好きで使ってるな。
他のより清潔感があるという印象

16 :ニューノーマルの名無しさん:2021/12/01(水) 20:26:59.12 ID:6M2Dzmm60.net

軽くて非常に使いやすいよね

26 :ニューノーマルの名無しさん:2021/12/01(水) 20:40:26.24 ID:96SHAOjd0.net

いまだにIIS使ってるとこってActiveXも使ってるのかな

3 :ニューノーマルの名無しさん:2021/12/01(水) 19:59:13.47 ID:j2yA9PQQ0.net

Windowsのバックドアも何とかしてくれ

43 :ニューノーマルの名無しさん:2021/12/01(水) 21:05:44.54 ID:THKqg+Rt0.net

MSでサーバー・・NTの頃から言われてるよな

67 :ニューノーマルの名無しさん:2021/12/01(水) 22:27:32.98 ID:WOpxQe500.net

フード被らないとハック出来ないんか

62 :ニューノーマルの名無しさん:2021/12/01(水) 22:01:05.27 ID:6wtR/IZQ0.net

>>59
恐れを知らない 戦士のように
振る舞うしかない

21 :ニューノーマルの名無しさん:2021/12/01(水) 20:35:42.82 ID:B2Nzq2Q20.net

この10年くらい、ESETファミリーを更新し続けてるわ
邪魔な感じ一切しないし、安くてなんか丁度良い

64 :ニューノーマルの名無しさん:2021/12/01(水) 22:13:20.62 ID:v+ga9zqc0.net

良いスパイなのか

13 :ニューノーマルの名無しさん:2021/12/01(水) 20:14:11.02 ID:lGtC3Wif0.net

もういいよ。どうせアメリカには何やっても情報抜かれるんだから。
中国よりはマシ。
どうしても大事な事なら手紙でやり取りすればいい。

66 :ニューノーマルの名無しさん:2021/12/01(水) 22:19:34.60 ID:Z8COW9G70.net

うちもエセット

IISって95の頃サービスパックだかに添付されてたよね

54 :ニューノーマルの名無しさん:2021/12/01(水) 21:25:32.94 ID:1AigrxW30.net

スパイウェア同士って共存したりお互いを認識したりできるのかな
ある日ばったり出会っちゃったり

23 :ニューノーマルの名無しさん:2021/12/01(水) 20:37:48.55 ID:kRnOtWMT0.net

インターネットは悪意に満ちているな

56 :ニューノーマルの名無しさん:2021/12/01(水) 21:27:29.49 ID:axNSqeaN0.net

ESETしか信用できるセキュリティソフトが無い

17 :ニューノーマルの名無しさん:2021/12/01(水) 20:27:31.16 ID:jkzS6l+/0.net

つまりMicrosoftがやっていたのか?

8 :ニューノーマルの名無しさん:2021/12/01(水) 20:03:45.28 ID:BbaTxLp60.net

マイクロソフトのテレメトリ機能が・・・

9 :ニューノーマルの名無しさん:2021/12/01(水) 20:05:48.00 ID:ucjVU5M60.net

ちょうどAmazonでESET買ったとこ
今安い

52 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:42.05 ID:5Z36uNFP0.net

ESETさん有能だな

27 :ニューノーマルの名無しさん:2021/12/01(水) 20:43:45.22 ID:tX9yljaB0.net

>>1
MS謹製スパイウェアwwwwwwww

33 :ニューノーマルの名無しさん:2021/12/01(水) 20:50:38.73 ID:yI9Xbv+m0.net

>>1
めんどくせーな
Cloudflare Serverで良いよもう・・・・・・

5 :ニューノーマルの名無しさん:2021/12/01(水) 20:00:22.92 ID:npt+M6Lw0.net

IISをパブリック状態で使う会社なんてあるのか
今の時代、そんな会社……まぁ…あるのか…困ったな…

どうか一日一票をお願いします。 ブログランキング・にほんブログ村へ

コメントを残す