伊朗黑客利用新后门瞄准IIS Web服务器

  • 时间:
  • 浏览:38
  • 来源:it300
伊朗黑客利用新后门瞄准IIS Web服务器

伊朗相关的网络间谍组织OilRig正在使用后门来瞄准中东政府组织和金融和教育机构使用的互联网信息服务(IIS)Web服务器。

[被称为RGDoor的恶意软件被认为是一个辅助后门,允许演员在检测到并删除主要恶意软件时重新获得对受感染的Web服务器的访问权。这个主要的恶意工具是TwoFace webshel​​l,OilRig据信自2016年6月以来一直在使用。

自2015年以来,OilRig威胁组主要针对金融和政府部门的组织,美国和中东国家。该集团被认为是在伊朗境外经营,正在使用m多种工具,正在扩大其武器库,并迅速采用新的攻击。

后门是使用C 创建的,这导致编译的动态链接库(DLL)具有名为“RegisterModule”的导出函数。因此,Palo Alto的研究人员认为DLL被用作自定义本机 - 代码HTTP模块加载到IIS中,并建议没有可视化表示的shell供actor进行交互。

这种方法利用了IIS 7的功能,允许开发人员用C 创建模块来扩展IIS的功能,例如对请求执行自定义操作。这些“本机代码模块可以安装在IIS管理器GUI中,也可以使用'appcmd'应用程序通过命令行安装,”Palo Alto解释说。

researchers还发现RGDoor会使用忽略入站HTTP GET请求的参数调用“RegisterModule”函数,但会对所有HTTP POST请求执行操作,甚至是通过HTTPS发出的请求。恶意软件解析这些请求以在HTTP“Cookie”字段中查找特定字符串,以便查找cmd $ [执行命令],上传$ [文件路径]或下载$ [文件路径]命令发给它。

“然后,样本通过创建一个调用IHttpResponse :: WriteEntityChunk方法的循环将数据传回给actor,直到所有数据都被发送到HTTP响应中的actor。如果WriteEntityChunk方法在此循环期间的任何时候失败,代码将通过使用IHttpResponse :: SetStatus m响应具有HTTP 500“服务器错误”响应的actor。方法,“研究人员解释说。

由于IIS默认情况下不会记录入站HTTP请求的Cookie字段中的值,因此很难找到并分析与RGDoor相关的入站请求。此外,由于模块检查所有命令的入站POST请求,因此actor可以使用任何URL与其进行交互。

后门后面的演员使用TwoFace webshel​​l将其加载到IIS Web服务器上,并获得对受感染系统的后门访问。但是,该工具的主要目的似乎是在删除TwoFace webshel​​l时重新获得对服务器的访问权限。

“这个后门有一组相当有限的命令,但是,这三个命令为一个称职的后门提供了大量的功能,因为它们允许一个演员上传d并将文件下载到服务器,以及通过命令提示符运行命令。 RGDoor的使用表明,该组织已制定应急计划,以便在发现和修复其网壳时重新获得对受损网络的访问,“Palo Alto总结道。

相关:伊朗网络间谍利用最近修补的办公室缺陷

相关:伊朗网络间谍在中东攻击中使用新木马

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01