X
【PC】ESET、マイクロソフトのウェブサーバーソフトウェアに仕掛けられる新たなバックドアを検出 「IISpy」と命名、長期的にスパイ活動 [樽悶★]
■ このスレッドは過去ログ倉庫に格納されています
0001樽悶 ★
垢版 |
2021/12/01(水) 19:58:23.52ID:9ODmz3Qu9
図1. IISpyバックドアの管理の仕組み
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/1.jpg
図2. IISpyを管理するHTTPリクエストの形式
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/2.jpg
図3. IISpyのRegisterModuleエクスポート
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/3.jpg
図4. IISpyのコアクラスは、3つのイベントハンドラを実装
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/4.jpg
図5. IISpyは攻撃者のリクエストに関するログエントリを変更する
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/5.jpg

 ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。

■攻撃の概要

 ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。

 ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。

 IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。

 利用されるバックドアコマンドは以下のとおりです。

・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信

 IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。

※省略

 IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。

 たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)

2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/0.jpg
0003ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 19:59:13.47ID:j2yA9PQQ0
Windowsのバックドアも何とかしてくれ
0004ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:00:21.43ID:875LY+bL0
(◜ω◝)
0005ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:00:22.92ID:npt+M6Lw0
IISをパブリック状態で使う会社なんてあるのか
今の時代、そんな会社……まぁ…あるのか…困ったな…
0006ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:01:21.65ID:51x2lw6u0
ESETダウンロードしなければ…
0007ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:01:54.77ID:N27/8NN10
マッチポンプ
0008ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:03:45.28ID:BbaTxLp60
マイクロソフトのテレメトリ機能が・・・
0013ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:14:11.02ID:lGtC3Wif0
もういいよ。どうせアメリカには何やっても情報抜かれるんだから。
中国よりはマシ。
どうしても大事な事なら手紙でやり取りすればいい。
0015ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:24:14.77ID:UvCc/52O0
Defenderだけじゃ信用できないからESET入れてるわ
0017ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:27:31.16ID:jkzS6l+/0
つまりMicrosoftがやっていたのか?
0019ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:31:34.38ID:0ZwToJAI0
MSと朝日新聞の共通点はマッチポンプ
0021ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:35:42.82ID:B2Nzq2Q20
この10年くらい、ESETファミリーを更新し続けてるわ
邪魔な感じ一切しないし、安くてなんか丁度良い
0026ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:40:26.24ID:96SHAOjd0
いまだにIIS使ってるとこってActiveXも使ってるのかな
0029ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:46:37.39ID:vFrHZQkg0
>>1
WSLでNginxでも使っとけよw
0031ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:47:32.75ID:tX9yljaB0
>>20
窓とIIS消して
Ubuntu入れてNginxでも使えばおk
0032ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:49:40.75ID:51x2lw6u0
>>27
やっぱりMSが意図的に入れたの?
0033ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:50:38.73ID:yI9Xbv+m0
>>1
めんどくせーな
Cloudflare Serverで良いよもう・・・・・・
0034ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:50:48.96ID:Fr4EPdvh0
マイグロソフト
0035ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:50:59.25ID:3fVeaKbw0
Cloudflareがトレンドだ
0036ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:52:37.76ID:JFVuXFWa0
IISか
クラウド化が広まってから、Windowsサーバで固めてるとこ多くなったよなぁ
一昔前だとメインはLinuxサーバでADだとか一部Windowsサーバっていう構成が多かった気がするが、

今やDBサーバなんかももう全部Windowsでやってるとこ多い印象
そして同時に技術力が下がっていってる感が。。
GUI上のボタンの押し方を知ってるだけで根本的な仕組みを理解してない人が増えちゃってる
0037ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:54:41.05ID:tX9yljaB0
>>36
わざわざ自力で最適化とか設定とかする事が無くなっていく・・・・・・
0038ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:56:49.46ID:aX8RraPT0
MSのセキュリティ更新は存在がばれたバックドアをつぶして別のを作るってのを延々やってるだけだからな
0039ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 20:59:46.34ID:cJbX/Zof0
見たとこで俺の大量のエロ動画見て得するなら好きにしろよ
何なら肝炎も見てくか?w
0040ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:04:27.93ID:apPXiXs60
私、何言ってるかわかりません。
これ誰が悪いのですか?
私はどうしたらいいのでしょうか?
0041ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:05:25.73ID:Ueg1UoG90
>>2
カスペルスキーを入れた方が良いのでしょか?
今までロシア製だから警戒してて
ノートンばかり使ってるわ
0044ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:09:52.65ID:+MuibdJR0
昔々、あるところに……インストールすると勝手にウェブページを公開してしまったり、非暗号化サービスをフルセットインストールしてしまうオペレーティングシステムがあったそうな……。
昔々の話じゃよ……。
0045ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:11:07.37ID:UvCc/52O0
MSって「悪いことをする人はお巡りさんが捕まえてくれる」という性善説に立ってSQLServerの管理者既定パスワードを空白にしてたぐらいのゆとり企業だからな。
0048ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:16:36.79ID:/F6mwk7e0
マイクロソフト社のオリジナル商品はROMベーシックだけだからね。
0049ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:20:29.93ID:0ZwToJAI0
一年で何十回も再起動を要求されるWindowsサーバーって業務に使えるの?
0050ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:21:03.92ID:WIIL1ArA0
WSLの追加アプリケーションのためにXWindowアプリ入れたらおかしくなった
0051ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:21:27.46ID:nE9q1+EF0
ESET使ってるわ。軽いし安い
0052ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:21:42.05ID:5Z36uNFP0
ESETさん有能だな
0054ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:25:32.94ID:1AigrxW30
スパイウェア同士って共存したりお互いを認識したりできるのかな
ある日ばったり出会っちゃったり
0055ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:26:07.76ID:hDPMjyYm0
>>40
Windows使うこと自体が間違い
0057ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:30:13.93ID:R1wYMDyq0
まぁIISをパブリックWebサーバーとして使ってるケースは少ないだろうから
問題になるのはSharePointベースの簡易情報サイトとかかなぁ
どっちにしてもうちには関係ない話だ
0059ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 21:39:04.95ID:3RyUXyNW0
>>28
今の僕には理解できない
0062ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 22:01:05.27ID:6wtR/IZQ0
>>59
恐れを知らない 戦士のように
振る舞うしかない
0065ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 22:18:29.46ID:zwWqy6hp0
そもそもIISのアクセス権をとられるのがバックドア以前の問題だろ
0067ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 22:27:32.98ID:WOpxQe500
フード被らないとハック出来ないんか
0068ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 22:50:44.94ID:JfSYvEa00
ウィルスのデパート過ぎてもはやビルゲイツのWindowsがウィルスの本体
0069ニューノーマルの名無しさん
垢版 |
2021/12/01(水) 22:56:50.09ID:mvX6Bl/x0
ESETは軽くて、仕事もよくしてくれるからいいよ。
俺も7年使ってるけど、よくガード検出してくれる。
0070ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 02:05:30.88ID:8ThQjEW50
バックドアがあったからって
ソレを利用する奴がいなけりゃどうという事はない
何をそんなにビビっているのか。
0071ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 02:32:51.67ID:X0VUmfKH0
ESET当たりだったのか?
0072ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 07:24:40.84ID:guoRWCYM0
そもそもwindows自体普段から使っているプロセス名一覧何処かに送信してるよね。あとネットのアクセスログも。
何かケツの穴の皺の数まで知ってそう。
0073ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 12:15:07.16ID:yLN4lWXI0
httpでやり取りとかしてたら個人のパソコンじゃまずわからないだろうね
FWやプロキシ認証とかないし
0074ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 17:45:02.54ID:HGtcUKz/0
ちょっとMSの悪口を書いたら俺の日常生活がCMになるのは偶然じゃなかったのか
0075ニューノーマルの名無しさん
垢版 |
2021/12/02(木) 20:18:09.89ID:ar19mJxH0
芸人ヒロシに触発されて山買った奴ら終わるwwwwww ヒロシがとんでもない暴露wwwwww

http://jooiy.donvogler.com/axt/vxRJ/071388220.html
0076ニューノーマルの名無しさん
垢版 |
2021/12/04(土) 16:19:21.59ID:tcrwj16V0
エセット
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況