愈來愈多IIS外掛被用作駭入企業伺服器的後門

微軟研究人員發現,IIS(Internet Information Services)外掛近來逐漸被駭客當成攻擊企業伺服器系統如Exchange Server的後門程式。

 

過去企業伺服器攻擊較少遇到惡意IIS外掛,這倒不是因為駭客不用IIS外掛攻擊。主因是,駭客通常以腳本語言寫成的web shell作為第一階段的後門程式,導致惡意IIS外掛的偵測率較web shell來得低。另一個原因是IIS後門也比較難偵測到,因為它們植入的位置,多半和駭客目標應用程式所使用的合法模組位於同一個目錄,也和合法模組採用同樣的程式碼架構。大多數情況下,這些後門程式的邏輯很簡單,若研究人員對合法IIS外掛的整體運作不了解,也很難判定它是惡意程式,這也進一步增加偵測感染源的難度。

 

隨著偵測技術的提升,惡意IIS外掛的案例也增加。一般情形下,攻擊者開採代管應用程式,例如Microsoft 365的重大漏洞進入企業網路,先植入Script web shell,再於伺服器上安裝IIS後門,以暗中長期滲透攻擊。在今年1月到5月間的Exchange Server攻擊中,微軟發現,駭客也會安裝依其目的,客製化惡意IIS外掛模組,監控目標應用程式進出的呼叫,或執行其他任務,像是執行遠端指令、或在用戶驗證Web應用程式時,於背景竊取用戶憑證資料。

 

例如今年上半一次Exchange Server的攻擊中,攻擊者利用去年揭露的ProxyShell漏洞,在受害系統上植入web shell,接著安裝名為FinanceSvcModel.dll的後門程式,該程式具有執行Exchange管理作業的能力,像是序列出Exchange Server郵箱帳號,再將郵箱內容匯出,不但竊取了用戶憑證資料,還得以和外界建立RDP連線可長期接受執行指令。

 

根據去年以來發現到代管應用程式上的惡意IIS外掛,微軟歸納出5類,包括web shell變種,例如經常被使用的China Chopper,包括今年初對臺灣和越南Exchange Server用戶的攻擊。駭客也樂意使用GitHub等開源資源平臺的專案來開發IIS後門。第3類為IIS handler,這類後門程式和合法模組具有清楚掌握呼叫pipeline的能力。此外還有竊取用戶憑證類型的後門,可監控例如OWA的用戶登入行為模式,將憑證加密傳送出去,而竊得的憑證可讓攻擊者在目標環境中長期滲透,即使主要後門後來被偵測到。

 

為防範攻擊者利用惡意IIS外掛攻擊企業伺服器,微軟建議企業使用防毒、防火牆及多因素驗證等方案,並以最小權限為原則設定應用程式存取,對於系統發出的異常通知應提高警覺。

 

此外,微軟也建議應經常檢查管理員、RDP(Remote Desktop Protocol)用戶或企業管理員等高權限群組是否遭加入不明帳號,應用程式的web.config及ApplicationHost.config是否有不明檔案(如圖片檔),並定期掃瞄應用程式的bin目錄的路徑、及檢查使用appcmd.exe或 gacutil.exe的模組。

(相關資訊來自iThome