IISpy: un backdoor para servidores con funciones anti forenses

Investigadores de ESET han descubierto y analizado un backdoor que se implementa como extensión para Internet Information Services (IIS), el software del servidor web de Microsoft

Investigadores de ESET han descubierto y analizado un backdoor previamente indocumentado que se implementa como una extensión para Internet Information Services (IIS), el software del servidor web de Microsoft. Este backdoor, al cual llamaron IISpy, utiliza una variedad de trucos para transferir con el registro de los servidores y evadir la detección, con el fin de realizar tareas de espionaje durante largo plazo. Las soluciones de seguridad de ESET detectan IISpy como Win Win{32,64}/BadIIS

Resumen del ataque

Según la telemetría de ESET, este backdoor ha estado activo al menos desde julio de 2020 y se ha utilizado con Juicy Potato (detectado como Win64/HackTool.JuicyPotato por las soluciones de seguridad de ESET), que es una herramienta de escalación de privilegios. Sospechamos que los atacantes primero obtienen acceso inicial al servidor IIS a través de la explotación de alguna vulnerabilidad, y luego utilizan Juicy Potato para obtener los privilegios de administrador necesarios para instalar IISpy como una extensión nativa para IIS.

Por otra pare, según nuestra telemetría IISpy afecta a una pequeña cantidad de servidores IIS ubicados en Canadá, EE. UU. y los Países Bajos, pero es probable que esta no sea la imagen completa, ya que todavía es común que los administradores no utilicen ningún software de seguridad en los servidores y, por lo tanto, nuestra visibilidad de los servidores IIS es limitada.

Debido a que está configurado como una extensión para IIS, IISpy puede ver todas las solicitudes HTTP recibidas por el servidor IIS comprometido y dar forma a la respuesta HTTP con la que responderá el servidor. IISpy utiliza este canal para implementar su comunicación con el C&C, lo que le permite operar como un “implante de red pasivo”. Como se muestra en la Imagen 1, el operador (no el backdoor) inicia la conexión enviando una solicitud HTTP especial al servidor comprometido. El backdoor reconoce la solicitud del atacante, extrae y ejecuta los comandos de backdoor embebidos y modifica la respuesta HTTP para incluir la salida del comando.

IISpy ignora todas las demás solicitudes HTTP enviadas al servidor IIS comprometido por sus visitantes legítimos, las cuales aún son manejadas por los módulos benignos del servidor.

Conclusión

IISpy es un complejo backdoor del lado del servidor que aprovecha la extensibilidad del software del servidor web IIS para su persistencia, ejecución y mecanismos de C&C. Diseñado para el espionaje a largo plazo en servidores IIS comprometidos, se vale de ciertos trucos para mezclarse con el tráfico regular de la red y para borrar los registros incriminatorios.

Las organizaciones que manejan datos confidenciales en sus servidores deben estar atentas, como las organizaciones que tienen habilitado el servicio Outlook en la web (OWA) en sus servidores de correo electrónico de Exchange: OWA se implementa a través de IIS y es un objetivo interesante para el espionaje. En cualquier caso, la mejor manera de mantener IISpy fuera de sus servidores es mantenerlos actualizados y considerar cuidadosamente qué servicios están expuestos a Internet, para reducir el riesgo de explotación del servidor.

Fuente: welivesecurity.com

Comments are closed.