図1. IISpyバックドアの管理の仕組み
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/1.jpg
図2. IISpyを管理するHTTPリクエストの形式
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/2.jpg
図3. IISpyのRegisterModuleエクスポート
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/3.jpg
図4. IISpyのコアクラスは、3つのイベントハンドラを実装
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/4.jpg
図5. IISpyは攻撃者のリクエストに関するログエントリを変更する
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/5.jpg

 ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。

■攻撃の概要

 ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。

 ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。

 IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。

 利用されるバックドアコマンドは以下のとおりです。

・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信

 IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。

※省略

 IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。

 たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)

2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/0.jpg