據(jù)Bleeping Computer網(wǎng)站7月26日消息，微軟 365 Defender 研究團(tuán)隊在當(dāng)天公布的一項研究調(diào)查中表示，攻擊者正越來越多地使用惡意 Internet 信息服務(wù) (IIS) Web 服務(wù)器擴(kuò)展，對未打補(bǔ)丁的 Exchange 服務(wù)器部署后門。

與Web Shell相比，利用IIS 擴(kuò)展能讓后門更加隱蔽，通常很難檢測到其安裝的確切位置，并且使用與合法模塊相同的結(jié)構(gòu)，為攻擊者提供了近乎完美的持久性機(jī)制。

根據(jù)微軟 365 Defender 研究團(tuán)隊的說法，在大多數(shù)情況下檢測到的實際后門邏輯很少，如果不更廣泛地了解合法 IIS 擴(kuò)展的工作原理，就不能將其視為惡意進(jìn)程，這也使得確定感染源變得更加困難。

對受感染服務(wù)器的持續(xù)訪問

在利用托管應(yīng)用程序中各種未修補(bǔ)的安全漏洞攻擊服務(wù)器后，攻擊者通常會在 Web Shell中 先部署一個有效負(fù)載，并在隨后部署 IIS 模塊以提供對被黑服務(wù)器更隱蔽和持久的訪問。微軟之前曾注意到攻擊者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定義 IIS 后門。隨后，惡意 IIS 模塊允許攻擊者從系統(tǒng)內(nèi)存中獲取憑證，從受害者的網(wǎng)絡(luò)和受感染設(shè)備收集信息，并提供更多有效負(fù)載。

在今年1月至5月期間針對 Microsoft Exchange 服務(wù)器的活動中，微軟注意到攻擊者在文件夾 C:\inetpub\wwwroot\bin\ 中安裝了一個名為 FinanceSvcModel.dll 的自定義 IIS 后門，以此來訪問受害者的電子郵件郵箱、遠(yuǎn)程運行命令并竊取憑證和機(jī)密數(shù)據(jù)。

作為 IIS 處理程序安裝的 IIS 后門示例

此外，卡巴斯基也曾注意到了類似的情況，去年 12 月，一個名為Owowa的惡意 IIS Web 服務(wù)器模塊被用于針對東南亞和歐洲的政府組織和公共交通公司?？ò退够?dāng)時表示，一旦進(jìn)入受害者的系統(tǒng)，攻擊者就可以訪問公司電子郵件，通過安裝其他類型的惡意軟件，秘密管理受感染的服務(wù)器來實施更進(jìn)一步的惡意訪問，并將這些服務(wù)器用作惡意基礎(chǔ)設(shè)施。

為防御使用惡意 IIS 模塊的攻擊，微軟建議用戶保持 Exchange 服務(wù)器處于最新狀態(tài)，在保持反惡意軟件等防護(hù)程序開啟的同時，檢查敏感角色和組，限制對 IIS 虛擬目錄的訪問，確定告警的優(yōu)先級并檢查配置文件和 bin 文件夾。

參考來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/