【PC】ESET、マイクロソフトのウェブサーバーソフトウェアに仕掛けられる新たなバックドアを検出 「IISpy」と命名、長期的にスパイ活動 [樽悶★]

■ このスレッドは過去ログ倉庫に格納されています
0001樽悶 ★2021/12/01(水) 19:58:23.52ID:9ODmz3Qu9
図1. IISpyバックドアの管理の仕組み
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/1.jpg
図2. IISpyを管理するHTTPリクエストの形式
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/2.jpg
図3. IISpyのRegisterModuleエクスポート
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/3.jpg
図4. IISpyのコアクラスは、3つのイベントハンドラを実装
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/4.jpg
図5. IISpyは攻撃者のリクエストに関するログエントリを変更する
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/5.jpg

 ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。

■攻撃の概要

 ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。

 ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。

 IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。

 利用されるバックドアコマンドは以下のとおりです。

・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信

 IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。

※省略

 IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。

 たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)

2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/0.jpg

0026ニューノーマルの名無しさん2021/12/01(水) 20:40:26.24ID:96SHAOjd0
いまだにIIS使ってるとこってActiveXも使ってるのかな

0027ニューノーマルの名無しさん2021/12/01(水) 20:43:45.22ID:tX9yljaB0
>>1
MS謹製スパイウェアwwwwwwww

0028ニューノーマルの名無しさん2021/12/01(水) 20:44:50.06ID:+GpU8TmW0
アンインストールが面倒臭いやつだな

0029ニューノーマルの名無しさん2021/12/01(水) 20:46:37.39ID:vFrHZQkg0
>>1
WSLでNginxでも使っとけよw

0030ニューノーマルの名無しさん2021/12/01(水) 20:46:55.29ID:PtzRIAgn0
良い名前付けたった! ってニヤニヤしてんのかな

0031ニューノーマルの名無しさん2021/12/01(水) 20:47:32.75ID:tX9yljaB0
>>20
窓とIIS消して
Ubuntu入れてNginxでも使えばおk

0032ニューノーマルの名無しさん2021/12/01(水) 20:49:40.75ID:51x2lw6u0
>>27
やっぱりMSが意図的に入れたの?

0033ニューノーマルの名無しさん2021/12/01(水) 20:50:38.73ID:yI9Xbv+m0
>>1
めんどくせーな
Cloudflare Serverで良いよもう・・・・・・

0034ニューノーマルの名無しさん2021/12/01(水) 20:50:48.96ID:Fr4EPdvh0
マイグロソフト

0035ニューノーマルの名無しさん2021/12/01(水) 20:50:59.25ID:3fVeaKbw0
Cloudflareがトレンドだ

0036ニューノーマルの名無しさん2021/12/01(水) 20:52:37.76ID:JFVuXFWa0
IISか
クラウド化が広まってから、Windowsサーバで固めてるとこ多くなったよなぁ
一昔前だとメインはLinuxサーバでADだとか一部Windowsサーバっていう構成が多かった気がするが、

今やDBサーバなんかももう全部Windowsでやってるとこ多い印象
そして同時に技術力が下がっていってる感が。。
GUI上のボタンの押し方を知ってるだけで根本的な仕組みを理解してない人が増えちゃってる

0037ニューノーマルの名無しさん2021/12/01(水) 20:54:41.05ID:tX9yljaB0
>>36
わざわざ自力で最適化とか設定とかする事が無くなっていく・・・・・・

0038ニューノーマルの名無しさん2021/12/01(水) 20:56:49.46ID:aX8RraPT0
MSのセキュリティ更新は存在がばれたバックドアをつぶして別のを作るってのを延々やってるだけだからな

0039ニューノーマルの名無しさん2021/12/01(水) 20:59:46.34ID:cJbX/Zof0
見たとこで俺の大量のエロ動画見て得するなら好きにしろよ
何なら肝炎も見てくか?w

0040ニューノーマルの名無しさん2021/12/01(水) 21:04:27.93ID:apPXiXs60
私、何言ってるかわかりません。
これ誰が悪いのですか?
私はどうしたらいいのでしょうか?

0041ニューノーマルの名無しさん2021/12/01(水) 21:05:25.73ID:Ueg1UoG90
>>2
カスペルスキーを入れた方が良いのでしょか?
今までロシア製だから警戒してて
ノートンばかり使ってるわ

0042ニューノーマルの名無しさん2021/12/01(水) 21:05:44.30ID:UdqxDI8c0
windows10はESETを排除しようとしてるからね。

MSに都合の悪いことがあるんだろ

0043ニューノーマルの名無しさん2021/12/01(水) 21:05:44.54ID:THKqg+Rt0
MSでサーバー・・NTの頃から言われてるよな

0044ニューノーマルの名無しさん2021/12/01(水) 21:09:52.65ID:+MuibdJR0
昔々、あるところに……インストールすると勝手にウェブページを公開してしまったり、非暗号化サービスをフルセットインストールしてしまうオペレーティングシステムがあったそうな……。
昔々の話じゃよ……。

0045ニューノーマルの名無しさん2021/12/01(水) 21:11:07.37ID:UvCc/52O0
MSって「悪いことをする人はお巡りさんが捕まえてくれる」という性善説に立ってSQLServerの管理者既定パスワードを空白にしてたぐらいのゆとり企業だからな。

0046ニューノーマルの名無しさん2021/12/01(水) 21:14:03.36ID:Yum451j10
>>2
犯人分かっちゃった

0047ニューノーマルの名無しさん2021/12/01(水) 21:15:24.39ID:D1CTlRdv0
中国が作ったスパイウェアの話け?

0048ニューノーマルの名無しさん2021/12/01(水) 21:16:36.79ID:/F6mwk7e0
マイクロソフト社のオリジナル商品はROMベーシックだけだからね。

0049ニューノーマルの名無しさん2021/12/01(水) 21:20:29.93ID:0ZwToJAI0
一年で何十回も再起動を要求されるWindowsサーバーって業務に使えるの?

0050ニューノーマルの名無しさん2021/12/01(水) 21:21:03.92ID:WIIL1ArA0
WSLの追加アプリケーションのためにXWindowアプリ入れたらおかしくなった

0051ニューノーマルの名無しさん2021/12/01(水) 21:21:27.46ID:nE9q1+EF0
ESET使ってるわ。軽いし安い

0052ニューノーマルの名無しさん2021/12/01(水) 21:21:42.05ID:5Z36uNFP0
ESETさん有能だな

0053ニューノーマルの名無しさん2021/12/01(水) 21:22:19.02ID:+MuibdJR0
>>49
定期再起動して使ってるよ(白目)

0054ニューノーマルの名無しさん2021/12/01(水) 21:25:32.94ID:1AigrxW30
スパイウェア同士って共存したりお互いを認識したりできるのかな
ある日ばったり出会っちゃったり

0055ニューノーマルの名無しさん2021/12/01(水) 21:26:07.76ID:hDPMjyYm0
>>40
Windows使うこと自体が間違い

0056ニューノーマルの名無しさん2021/12/01(水) 21:27:29.49ID:axNSqeaN0
ESETしか信用できるセキュリティソフトが無い

0057ニューノーマルの名無しさん2021/12/01(水) 21:30:13.93ID:R1wYMDyq0
まぁIISをパブリックWebサーバーとして使ってるケースは少ないだろうから
問題になるのはSharePointベースの簡易情報サイトとかかなぁ
どっちにしてもうちには関係ない話だ

0058ニューノーマルの名無しさん2021/12/01(水) 21:30:26.15ID:YJhS/poJ0
安全なところはどこにもなさそうだな

0059ニューノーマルの名無しさん2021/12/01(水) 21:39:04.95ID:3RyUXyNW0
>>28
今の僕には理解できない

0060ニューノーマルの名無しさん2021/12/01(水) 21:41:17.74ID:o6CGYJDe0
ESETはもう10年来使っている

0061ニューノーマルの名無しさん2021/12/01(水) 21:58:49.10ID:LKYtOtvI0
久々にニーモニック見たわ

0062ニューノーマルの名無しさん2021/12/01(水) 22:01:05.27ID:6wtR/IZQ0
>>59
恐れを知らない 戦士のように
振る舞うしかない

0063ニューノーマルの名無しさん2021/12/01(水) 22:05:54.82ID:7DJDZK5r0
ESETなんか好きで使ってるな。
他のより清潔感があるという印象

0064ニューノーマルの名無しさん2021/12/01(水) 22:13:20.62ID:v+ga9zqc0
良いスパイなのか

0065ニューノーマルの名無しさん2021/12/01(水) 22:18:29.46ID:zwWqy6hp0
そもそもIISのアクセス権をとられるのがバックドア以前の問題だろ

0066ニューノーマルの名無しさん2021/12/01(水) 22:19:34.60ID:Z8COW9G70
うちもエセット

IISって95の頃サービスパックだかに添付されてたよね

0067ニューノーマルの名無しさん2021/12/01(水) 22:27:32.98ID:WOpxQe500
フード被らないとハック出来ないんか

0068ニューノーマルの名無しさん2021/12/01(水) 22:50:44.94ID:JfSYvEa00
ウィルスのデパート過ぎてもはやビルゲイツのWindowsがウィルスの本体

0069ニューノーマルの名無しさん2021/12/01(水) 22:56:50.09ID:mvX6Bl/x0
ESETは軽くて、仕事もよくしてくれるからいいよ。
俺も7年使ってるけど、よくガード検出してくれる。

0070ニューノーマルの名無しさん2021/12/02(木) 02:05:30.88ID:8ThQjEW50
バックドアがあったからって
ソレを利用する奴がいなけりゃどうという事はない
何をそんなにビビっているのか。

0071ニューノーマルの名無しさん2021/12/02(木) 02:32:51.67ID:X0VUmfKH0
ESET当たりだったのか?

0072ニューノーマルの名無しさん2021/12/02(木) 07:24:40.84ID:guoRWCYM0
そもそもwindows自体普段から使っているプロセス名一覧何処かに送信してるよね。あとネットのアクセスログも。
何かケツの穴の皺の数まで知ってそう。

0073ニューノーマルの名無しさん2021/12/02(木) 12:15:07.16ID:yLN4lWXI0
httpでやり取りとかしてたら個人のパソコンじゃまずわからないだろうね
FWやプロキシ認証とかないし

0074ニューノーマルの名無しさん2021/12/02(木) 17:45:02.54ID:HGtcUKz/0
ちょっとMSの悪口を書いたら俺の日常生活がCMになるのは偶然じゃなかったのか

0075ニューノーマルの名無しさん2021/12/02(木) 20:18:09.89ID:ar19mJxH0
芸人ヒロシに触発されて山買った奴ら終わるwwwwww ヒロシがとんでもない暴露wwwwww

http://jooiy.donvogler.com/axt/vxRJ/071388220.html

0076ニューノーマルの名無しさん2021/12/04(土) 16:19:21.59ID:tcrwj16V0
エセット

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★
Donguri System Team