微软研究人员发现,iis(internet information services)插件近来逐渐被黑客当成攻击企业服务器系统如exchange server的后门程序。
过去企业服务器攻击较少遇到恶意iis插件,这倒不是因为黑客不用iis插件攻击。主因是,黑客通常以脚本语言写成的web shell作为第一阶段的后门程序,导致恶意iis插件的侦测率较web shell来得低。另一个原因是iis后门也比较难侦测到,因为它们植入的位置,多半和黑客目标应用程序所使用的合法模块位于同一个目录,也和合法模块采用同样的程序代码架构。大多数情况下,这些后门程序的逻辑很简单,若研究人员对合法iis插件的整体运行不了解,也很难判定它是恶意程序,这也进一步增加侦测感染源的难度。
随着侦测技术的提升,恶意iis插件的案例也增加。一般情形下,攻击者开采托管应用程序,例如microsoft 365的重大漏洞进入企业网络,先植入script web shell,再于服务器上安装iis后门,以暗中长期渗透攻击。在今年1月到5月间的exchange server攻击中,微软发现,黑客也会安装依其目的,定制化恶意iis插件模块,监控目标应用程序进出的调用,或执行其他任务,像是执行远程指令、或在用户验证web应用程序时,于背景窃取用户凭证资料。
例如今年上半一次exchange server的攻击中,攻击者利用去年披露的proxyshell漏洞,在受害系统上植入web shell,接着安装名为financesvcmodel.dll的后门程序,该程序具有执行exchange管理作业的能力,像是串行出exchange server邮箱账号,再将邮箱内容导出,不但窃取了用户凭证资料,还得以和外界创建rdp连接可长期接受执行指令。
根据去年以来发现到托管应用程序上的恶意iis插件,微软归纳出5类,包括web shell变种,包括今年初对台湾和越南exchange server用户的攻击。黑客也乐意使用github等开源资源平台的项目来开发iis后门。第3类为iis handler,这类后门程序和合法模块具有清楚掌握调用pipeline的能力。此外还有窃取用户凭证类型的后门,可监控例如owa的用户登录行为模式,将凭证加密发送出去,而窃得的凭证可让攻击者在目标环境中长期渗透,即使主要后门后来被侦测到。
为防范攻击者利用恶意iis插件攻击企业服务器,微软建议企业使用杀毒、防火墙及多因素验证等方案,并以最小权限为原则设置应用程序访问,对于系统发出的异常通知应提高警觉。
此外,微软也建议应经常检查管理员、rdp(remote desktop protocol)用户或企业管理员等高权限群组是否遭加入不明账号,应用程序的web.config及applicationhost.config是否有不明文件(如图片文件),并定期扫描应用程序的bin目录的路径、及检查使用appcmd.exe或gacutil.exe的模块。