几个恶意软件家族使用恶意模块攻击IIS Web服务器

对针对微软互联网信息服务（IIS）服务器的攻击进行的系统分析显示，多达14个恶意软件系列，其中10个是新记录的，这表明基于Windows的web服务器软件在近八年的时间里仍然是本机开发的恶意软件的温床。

ESET恶意软件研究人员Zuzana Hromocova今天在美国黑帽安全会议上介绍了这一发现。

赫罗科娃在接受《黑客新闻》采访时说：“识别出的各种原生IIS恶意软件都是服务器端恶意软件，它能做的最好的两件事是，第一，查看并拦截与服务器的所有通信，第二，影响请求的处理方式。”。“他们的动机从网络犯罪到间谍活动，还有一种叫做搜索引擎优化欺诈的技术。”

据信，三个东南亚国家的政府机构、柬埔寨的一家大型电信公司和越南的一家研究机构，以及多个行业的数十家私营公司（主要位于加拿大、越南和印度、美国、新西兰和韩国）都是IIS恶意软件的目标。

IIS是由Microsoft开发的可扩展web服务器软件，使开发人员能够利用其模块化体系结构，将扩展其核心功能的其他IIS模块合并到一起。

ESET的一份白皮书详细介绍了通过窃听和篡改服务器通信操作的各类威胁的结构，该白皮书称，“同样的可扩展性对恶意参与者具有吸引力，这一点也不奇怪，–；拦截网络流量、窃取敏感数据或提供恶意内容。”。

“此外，在IIS服务器上运行端点（和其他）安全软件的情况非常罕见，这使得攻击者很容易长时间在不被注意的情况下进行操作。这对所有想要保护访问者数据（包括身份验证和支付信息）的严肃门户网站来说应该是一件令人不安的事情。”

IIS恶意软件阶段

通过收集超过80个恶意软件样本，研究将他们分为14个独特的家庭（第1组到第14组），其中大部分是首次检测到2018至2021，并正在积极发展至今。虽然它们之间可能没有任何连接，但在所有14个恶意软件系列中，它们都是作为恶意本机IIS模块开发的。

“在所有情况下，IIS恶意软件的主要目的都是处理进入受损服务器的HTTP请求，并影响服务器如何响应（其中一些）这些请求–；它们的处理方式取决于恶意软件类型，”赫罗科娃解释道。恶意软件家族被发现以五种模式之一运行-

• 后门模式-远程控制安装了IIS的受损计算机
• 信息窃取者模式-拦截受损服务器与其合法访问者之间的常规通信，窃取登录凭据和支付信息等信息
• 喷油器模式-修改发送给合法访问者的HTTP响应以提供恶意内容
• 代理模式-将受损的服务器变成另一个恶意软件家族的指挥与控制（C2）基础设施的无意部分，并在受害者和实际的C2服务器之间传递通信
• 搜索引擎优化欺诈模式-修改服务于搜索引擎爬虫的内容，以人为提高所选网站的排名（又名门口页面）

涉及IIS恶意软件的感染通常取决于服务器管理员无意中安装了合法IIS模块的特洛伊木马版本，或者当对手能够利用web应用程序或服务器中的配置弱点或漏洞访问服务器时，使用它安装带有恶意软件的IIS模块。

信息窃取机制

事实上，在今年3月早些时候，微软发布了针对ProxyLogon漏洞的带外补丁，这些漏洞影响了微软Exchange Server 2013、2016和2019，不久之后，多个高级持久性威胁（APT）组织加入了攻击狂潮，ESET观察到位于亚洲和南美洲的四台电子邮件服务器遭到破坏，无法部署网络外壳，作为安装IIS后门的通道。

这远非微软网络服务器软件第一次成为威胁参与者的有利可图的目标。上个月，以色列网络安全公司Sygnia的研究人员披露了一系列有针对性的网络入侵攻击，这些攻击是由一个名为螳螂的高级秘密对手发起的，目标是面向互联网的IIS服务器，目的是渗透到美国知名的公共和私人实体。

原生IIS模块的受害者通过ProxyLogon漏洞链传播

为了防止IIS服务器受损，建议使用具有强大、唯一密码的专用帐户用于管理相关目的，仅从可信来源安装本机IIS模块，通过限制暴露于internet的服务来减少攻击面，并使用web应用程序防火墙来增加一层安全性。

“调查中最令人惊讶的一个方面是IIS恶意软件的多功能性，以及（检测）搜索引擎优化欺诈犯罪计划，恶意软件被滥用来操纵搜索引擎算法，帮助提升第三方网站的声誉，”赫罗科娃说。“我们以前从未见过这样的情况。”