1 :樽悶 ★:2021/12/01(水) 19:58:23.52 ID:9ODmz3Qu9.net
図1. IISpyバックドアの管理の仕組み
図2. IISpyを管理するHTTPリクエストの形式
図3. IISpyのRegisterModuleエクスポート
図4. IISpyのコアクラスは、3つのイベントハンドラを実装
図5. IISpyは攻撃者のリクエストに関するログエントリを変更する
ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。
■攻撃の概要
ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。
ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。
IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。
利用されるバックドアコマンドは以下のとおりです。
・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信
IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。
※省略
IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。
たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)
2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/
12 :ニューノーマルの名無しさん:2021/12/01(水) 20:11:05.08 ID:b3zf3p/80.net
50 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:03.92 ID:WIIL1ArA0.net
20 :ニューノーマルの名無しさん:2021/12/01(水) 20:32:50.63 ID:gdlFlSMN0.net
40 :ニューノーマルの名無しさん:2021/12/01(水) 21:04:27.93 ID:apPXiXs60.net
28 :ニューノーマルの名無しさん:2021/12/01(水) 20:44:50.06 ID:+GpU8TmW0.net
30 :ニューノーマルの名無しさん:2021/12/01(水) 20:46:55.29 ID:PtzRIAgn0.net
6 :ニューノーマルの名無しさん:2021/12/01(水) 20:01:21.65 ID:51x2lw6u0.net
53 :ニューノーマルの名無しさん:2021/12/01(水) 21:22:19.02 ID:+MuibdJR0.net
18 :ニューノーマルの名無しさん:2021/12/01(水) 20:28:32.49 ID:yyYigyrB0.net
63 :ニューノーマルの名無しさん:2021/12/01(水) 22:05:54.82 ID:7DJDZK5r0.net
16 :ニューノーマルの名無しさん:2021/12/01(水) 20:26:59.12 ID:6M2Dzmm60.net
26 :ニューノーマルの名無しさん:2021/12/01(水) 20:40:26.24 ID:96SHAOjd0.net
3 :ニューノーマルの名無しさん:2021/12/01(水) 19:59:13.47 ID:j2yA9PQQ0.net
43 :ニューノーマルの名無しさん:2021/12/01(水) 21:05:44.54 ID:THKqg+Rt0.net
67 :ニューノーマルの名無しさん:2021/12/01(水) 22:27:32.98 ID:WOpxQe500.net
62 :ニューノーマルの名無しさん:2021/12/01(水) 22:01:05.27 ID:6wtR/IZQ0.net
21 :ニューノーマルの名無しさん:2021/12/01(水) 20:35:42.82 ID:B2Nzq2Q20.net
64 :ニューノーマルの名無しさん:2021/12/01(水) 22:13:20.62 ID:v+ga9zqc0.net
13 :ニューノーマルの名無しさん:2021/12/01(水) 20:14:11.02 ID:lGtC3Wif0.net
66 :ニューノーマルの名無しさん:2021/12/01(水) 22:19:34.60 ID:Z8COW9G70.net
54 :ニューノーマルの名無しさん:2021/12/01(水) 21:25:32.94 ID:1AigrxW30.net
23 :ニューノーマルの名無しさん:2021/12/01(水) 20:37:48.55 ID:kRnOtWMT0.net
56 :ニューノーマルの名無しさん:2021/12/01(水) 21:27:29.49 ID:axNSqeaN0.net
17 :ニューノーマルの名無しさん:2021/12/01(水) 20:27:31.16 ID:jkzS6l+/0.net
8 :ニューノーマルの名無しさん:2021/12/01(水) 20:03:45.28 ID:BbaTxLp60.net
9 :ニューノーマルの名無しさん:2021/12/01(水) 20:05:48.00 ID:ucjVU5M60.net
52 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:42.05 ID:5Z36uNFP0.net
27 :ニューノーマルの名無しさん:2021/12/01(水) 20:43:45.22 ID:tX9yljaB0.net
33 :ニューノーマルの名無しさん:2021/12/01(水) 20:50:38.73 ID:yI9Xbv+m0.net
5 :ニューノーマルの名無しさん:2021/12/01(水) 20:00:22.92 ID:npt+M6Lw0.net