據報導,黑客現在正在使用Internet信息服務或IIS擴展名作為進入服務器的後門,因為它可以幫助他們深深地隱藏在他們想要針對的環境中,並為他們提供持久的持久機制。
儘管過去有關於這些事件的研究,但對於黑客如何將IIS平台用作後門仍然鮮為人知。
使用IIS作為後門
根據微軟在針對服務器的攻擊中,惡意IIS擴展通常不會遇到,黑客通常只使用腳本Web shell作為第一階段有效載荷。
然後這導致了與腳本Web殼相比,惡意IIS擴展的檢測率較低,因為它們也很難檢測到,因為它們與目標應用程序使用的合法模塊居住在同一地點。
惡意IIS遵循與乾淨模塊完全相同的代碼結構,在大多數情況下,後門邏輯是最小的,如果不了解合法的IIS擴展,它不能被視為惡意。
然後,確定擴展中感染的來源更具挑戰性。
通常,黑客首先在將腳本Web Shell作為第一階段有效負載之前先利用該應用程序中的關鍵漏洞進行初始訪問。
接下來,他們將安裝IIS後門,以提供對服務器的秘密和持久訪問權限。黑客還可以安裝適合其目的的自定義的IIS模塊。
一旦將它們註冊為目標應用程序,後門就可以輕鬆監視任何傳入和發出的請求,並執行其他任務,例如運行遠程命令或將憑據放置在後台。
如何對抗攻擊
安全專家預計黑客將繼續使用IIS後門,因此事件響應者必須了解攻擊功能如何識別和防禦它們的基礎。
組織可以在服務器攻擊和妥協中以保護功能和獨特的可見性安裝防御者。易怒的計算機。
憑藉威脅和脆弱性管理和防病毒功能等關鍵保護功能,防御者可以為組織提供一個全面的解決方案,以保護身份,跨越電子郵件,域,域,雲和端點。
IIS擴展如何工作
IIS是一款靈活的,目的Web服務器,幾年來一直是Windows平台的主要部分。
這些服務器易於管理,模塊化和可擴展的平台,用於託管網站,應用程序和服務。加密蛋白酶。
ISS還為多個組織提供關鍵的業務邏輯。 IIS的模塊化體系結構使用戶可以根據其需求擴展和自定義Web服務。
這些擴展可以通過C/C ++,並通過C#,VB.NET代碼結構進行管理。擴展名可以進一步歸類為處理程序和模塊。
IIS管道由ASP.NET運行時啟動以處理請求的可擴展對象組成。 IIS模塊和處理程序是.NET組件,它們是IIS管道中擴展性的主要點。
在由一個處理程序處理之前,每個請求都由多個IIS模塊處理。它就像添加了一組構建塊,模塊和處理程序,以提供目標應用程序所需的功能。
相關文章:Microsoft Big Email中國黑客入侵:如何知道您是否受到影響,下一步該做什麼
本文由技術時報擁有
由索菲·韋伯斯特(Sophie Webster)撰寫
