Anatomía del malware nativo de IIS


Investigadores de ESET publican un informe técnico que pone bajo el microscopio las amenazas del servidor web IIS

Los investigadores de ESET han descubierto un conjunto de familias de malware previamente indocumentadas, implementadas como extensiones maliciosas para Servicios de Información de Internet (IIS) software de servidor web. Dirigida tanto a los buzones de correo del gobierno como a las transacciones de comercio electrónico, además de ayudar en la distribución de malware, esta diversa clase de amenazas opera escuchando a escondidas y manipulando las comunicaciones del servidor.

Junto con un desglose completo de las familias recién descubiertas, nuestro nuevo artículo, Anatomía del malware nativo de IIS, proporciona una guía completa para ayudar a otros investigadores y defensores de seguridad a detectar, analizar y mitigar esta clase de amenazas del lado del servidor. En esta publicación de blog, resumimos los hallazgos del libro blanco.

Hoy, también estamos lanzando una serie de publicaciones de blog en las que presentamos las familias de malware IIS más destacadas recientemente descubiertas, como casos de estudio de cómo este tipo de malware se utiliza para el ciberdelito, el ciberespionaje y el fraude SEO. Además de esta descripción general, puede leer la primera de las tres entregas, IIStealer: una amenaza del lado del servidor para las transacciones de comercio electrónico.

Los hallazgos de nuestra investigación de malware IIS se presentaron por primera vez en Black Hat USA 2021 y también se compartirá con la comunidad en el Boletín de virus 2021 conferencia el 8 de octubreth.

IIS es un software de servidor web de Microsoft Windows con una arquitectura modular extensible que, desde la versión 7.0, admite dos tipos de extensiones: nativo (DLL de C ++) y administrado (Ensamblado .NET) módulos. Enfocado en nativo malicioso Módulos IIS, hemos encontrado más de 80 muestras únicas utilizadas en la naturaleza y las categorizamos en 14 familias de malware, 10 de las cuales estaban previamente indocumentadas. Las soluciones de seguridad de ESET detectan estas familias como Win 32,64 / BadIIS y Win 32,64 /Spy.IISniff.

Cómo funciona el malware IIS

El malware IIS es una clase diversa de amenazas que se utilizan para el ciberdelito, el ciberespionaje y el fraude SEO, pero en todos los casos, su objetivo principal es interceptar las solicitudes HTTP que ingresan al servidor IIS comprometido y afectar la forma en que el servidor responde a (algunas de) estas solicitudes. .

Con la instalación predeterminada, IIS en sí es persistente, por lo que no es necesario que el malware IIS basado en extensiones implemente mecanismos de persistencia adicionales. Una vez configurado como una extensión de IIS, el proceso de trabajo de IIS carga el módulo IIS malicioso (w3wp.exe), que maneja las solicitudes enviadas al servidor; aquí es donde el malware IIS puede interferir con el procesamiento de la solicitud.

Identificamos cinco modos principales en los que opera el malware IIS, como se ilustra en la Figura 1:

  • Puertas traseras de IIS Permitir a sus operadores controlar de forma remota la computadora comprometida con IIS instalado.
  • Distribuidores de información de IIS permitir que sus operadores intercepten el tráfico regular entre el servidor comprometido y sus visitantes legítimos, para robar información como credenciales de inicio de sesión e información de pago. El uso de HTTPS no evita este ataque, ya que el malware IIS puede acceder a todos los datos manejados por el servidor, que es donde se procesan los datos en su estado no cifrado.
  • Inyectores IIS modificar las respuestas HTTP enviadas a visitantes legítimos para ofrecer contenido malicioso
  • Proxies de IIS convertir el servidor comprometido en una parte involuntaria de la infraestructura de C&C para otra familia de malware y hacer un mal uso del servidor IIS para transmitir la comunicación entre las víctimas de ese malware y el servidor C&C real
  • Software malicioso IIS de fraude SEO modifica el contenido servido a los motores de búsqueda para manipular los algoritmos SERP y aumentar la clasificación de otros sitios web de interés para los atacantes
Figura 1. Descripción general de los mecanismos de malware de IIS

Figura 1. Descripción general de los mecanismos de malware de IIS

Todos estos tipos de malware se analizan en profundidad en el documento.

Cómo (y dónde) se propaga

Los módulos nativos de IIS tienen acceso sin restricciones a cualquier recurso disponible para el proceso de trabajo del servidor; por lo tanto, se requieren derechos administrativos para instalar malware nativo de IIS. Esto reduce considerablemente las opciones para el vector de ataque inicial. Hemos visto evidencia para dos escenarios:

  • El malware IIS se propaga como una versión troyanizada de un módulo IIS legítimo
  • El malware IIS se propaga a través de la explotación del servidor

Por ejemplo, entre marzo y junio de 2021, detectamos una ola de puertas traseras de IIS propagadas a través de la cadena de vulnerabilidad RCE de autenticación previa de Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065), también conocido como ProxyLogon. El objetivo específico eran los servidores de Exchange que Outlook en la web (también conocido como OWA) habilitado: dado que IIS se usa para implementar OWA, estos fueron un objetivo particularmente interesante para el espionaje.

Después de nuestros compañeros informó En el primer caso de este tipo en marzo de 2021, hemos detectado cuatro campañas más de varias puertas traseras de IIS que se propagan a los servidores de Microsoft Exchange a través de la misma vulnerabilidad. Para complementar nuestra telemetría, hemos realizado escaneos en Internet para detectar la presencia de estas puertas traseras, lo que nos permitió identificar y notificar a otras víctimas del malware.

La Figura 2 muestra las ubicaciones geográficas de los servidores afectados por estas cinco campañas, utilizando datos de nuestra telemetría y escaneos de Internet.

Figura 2. Las víctimas de las puertas traseras nativas de IIS se propagan a través de la cadena de vulnerabilidades de ProxyLogon

Figura 2. Las víctimas de las puertas traseras nativas de IIS se propagan a través de la cadena de vulnerabilidades de ProxyLogon

Entre las víctimas se encontraban las siguientes entidades:

  • Instituciones gubernamentales en tres países del sudeste asiático
  • Una importante empresa de telecomunicaciones en Camboya
  • Una institución de investigación en Vietnam
  • Docenas de empresas privadas en una variedad de industrias, ubicadas principalmente en Canadá, Vietnam e India, y otras en los EE. UU., Nueva Zelanda, Corea del Sur y otros países.

Tenga en cuenta que si bien las puertas traseras de IIS pueden ser adecuadas para espiar buzones de correo de alto perfil, las víctimas del malware de IIS no se limitan a los servidores comprometidos; todos los visitantes legítimos de los sitios web alojados en estos servidores son objetivos potenciales, ya que el malware puede usarse para robar datos confidenciales de los visitantes (robadores de información IIS) o entregar contenido malicioso (inyectores IIS). Por favor, consulte el papel blanco para obtener detalles sobre los objetivos de las otras familias de IIS analizadas.

El interior del malware IIS nativo

Desde el punto de vista técnico, todos los tipos de malware nativo de IIS se implementan como bibliotecas de vínculos dinámicos (DLL), escritas con el API de IIS C ++. Cualquier DLL de este tipo debe:

  • Implementar una clase heredada de la CHttpModule o CGlobalModule clase (o ambas), y anula varios de los métodos de esa clase (controladores de eventos)
  • Exportar el RegisterModule función, que es el punto de entrada de la biblioteca, responsable de crear las instancias de estas clases y registrar los manejadores implementados para eventos del servidor, como se ilustra en la Figura 3.
Figura 3. Una función típica de RegisterModule del malware nativo de IIS

Figura 3. Una función típica de RegisterModule del malware nativo de IIS

Eventos del servidor consulte los pasos que toma el servidor IIS durante el procesamiento de la solicitud (ver Figura 4), pero también otras acciones tomadas por el servidor (por ejemplo, enviar una respuesta HTTP). Estos eventos generan notificaciones de eventos, que son manejados por controladores de eventos implementado en los módulos del servidor (ver Figura 5).

Figura 4. Canalización de procesamiento de solicitudes HTTP en IIS

Figura 4. Canalización de procesamiento de solicitudes HTTP en IIS

En resumen, los controladores de eventos (o los métodos de las clases principales del módulo IIS) son donde se implementa la funcionalidad del malware IIS y donde cualquier ingeniero inverso debe enfocar su análisis. Para profundizar en los aspectos esenciales del malware IIS y cómo analizar dichos binarios, consulte la Anatomía del malware nativo de IIS sección de nuestro libro blanco.

Figura 5. Controladores de eventos: métodos de las clases del módulo, CHttpModule y CGlobalModule

Red de comunicacion

Una característica notable del malware IIS es cómo se comunica con sus operadores. Los módulos IIS maliciosos, especialmente las puertas traseras de IIS, no suelen crear nuevas conexiones a sus servidores C&C. Ellos funcionan como implantes pasivos, lo que permite a los atacantes controlarlos proporcionando algún "secreto" en una solicitud HTTP enviada al servidor web IIS comprometido. Es por eso que las puertas traseras de IIS suelen tener un mecanismo para reconocer solicitudes del atacante que se utilizan para controlar el servidor y tienen una estructura predefinida, como por ejemplo:

  • URL o cuerpo de solicitud que coincida con una expresión regular específica
  • Un encabezado HTTP personalizado específico presente
  • Un token incrustado (en la URL, el cuerpo de la solicitud o uno de los encabezados) que coincida con una contraseña codificada
  • Un valor hash de un token incrustado que coincide con un valor codificado
  • Una condición más compleja, por ejemplo, una relación entre todo lo anterior.
Figura 6. Canal de comunicación de C&C pasivo (puertas traseras de IIS)

Figura 6. Canal de comunicación de C&C pasivo (puertas traseras de IIS)

Por otro lado, algunas categorías de malware de IIS hacer Implemente un canal C&C alternativo, utilizando protocolos como HTTP o DNS, para obtener la configuración actual sobre la marcha. Por ejemplo, un inyector IIS se pone en contacto con su servidor C&C cada vez que hay una nueva solicitud de un visitante legítimo del sitio web comprometido, y utiliza la respuesta del servidor para modificar el contenido entregado a ese visitante (como código malicioso o adware).

Figura 7. Mecanismo de comunicación alternativo de C&C (inyectores IIS)

Figura 7. Mecanismo de comunicación alternativo de C&C (inyectores IIS)

La Tabla 1 resume cómo los canales C&C, así como otras técnicas notables, son implementados por las 14 familias de malware IIS analizadas.

Tabla 1. Resumen de las ofuscaciones implementadas y funcionalidades compatibles con las familias de malware IIS analizadas

Grupo #
Funcionalidad
Canal C&C
Detección de técnicas de evasión y ofuscación.
Puerta trasera Infostealer Apoderado Fraude SEO Inyector Verificación de la solicitud del atacante (por ejemplo, encabezado específico presente, URI específico, parámetro de cadena de consulta) Cifrado /
codificacion
Protocolo de canal alternativo
Grupo 1 Encabezado HTTP con contraseña codificada base64
Grupo 2 Encabezado HTTP con contraseña codificada RSA + AES-CBC
Grupo 3 Encabezado HTTP presente base64
Grupo 4 Encabezado HTTP con contraseña codificada XOR + base64 Anti-registro
Grupo 5 Encabezado URI y HTTP con contraseña codificada Apilamiento de cuerdas
Grupo 6 Parámetro de cadena de consulta
Grupo 7 Relación entre encabezados HTTP, formato de cuerpo HTTP AES-CBC Anti-registro
Grupo 8 Encabezado HTTP con contraseña codificada
Grupo 9 Sin soporte para las solicitudes de los atacantes HTTP Cadenas cifradas (XOR 0x56)
Grupo 10 Sin soporte para las solicitudes de los atacantes HTTP para obtener la configuración de JavaScript
Grupo 11 Encabezado HTTP con contraseña codificada DNS TXT para obtener la configuración, HTTP para C&C Cifrado de cadenas (AÑADIR 0x02)
Grupo 12, variante A Encabezado HTTP con contraseña cuyo hash MD5 está codificado HTTP Cifrado de cadenas (ADD 0x01)
Grupo 12, variante B HTTP Embalaje UPX
Grupo 12, variante C Sin soporte para las solicitudes de los atacantes HTTP Cifrado de cadenas (XOR 0x0C)
Grupo 13 Parámetro de cadena de consulta HTTP
Grupo 14 Sin soporte para las solicitudes de los atacantes HTTP

Mitigación

Dado que los módulos nativos de IIS solo se pueden instalar con privilegios administrativos, los atacantes primero deben obtener acceso elevado al servidor IIS. Las siguientes recomendaciones podrían ayudar a que su trabajo sea más difícil:

  • Utilice cuentas dedicadas con contraseñas únicas y seguras para la administración del servidor IIS. Requiere autenticación multifactor (MFA) para estas cuentas. Supervise el uso de estas cuentas.
  • Parche su sistema operativo con regularidad y considere detenidamente qué servicios están expuestos a Internet para reducir el riesgo de explotación del servidor.
  • Considere el uso de un firewall de aplicaciones web y / o una solución de seguridad de punto final en su servidor IIS.
  • Los módulos nativos de IIS tienen acceso sin restricciones a cualquier recurso disponible para el proceso de trabajo del servidor; solo debe instalar módulos IIS nativos de fuentes confiables para evitar descargar sus versiones troyanizadas. Sea especialmente consciente de los módulos que prometen características demasiado buenas para ser verdad, como mejorar mágicamente el SEO.
  • Verifique regularmente la configuración del servidor IIS para verificar que todos los módulos nativos instalados sean legítimos (firmados por un proveedor confiable o instalados a propósito).

Para obtener detalles sobre cómo detectar y eliminar el malware IIS, consulte la Mitigación sección del libro blanco. También estamos publicando un conjunto de Reglas de YARA que puede aprovechar para detectar las 14 familias de malware IIS analizadas.

Conclusión

Los servidores web de Internet Information Services han sido atacados por varios actores malintencionados, tanto para el ciberdelito como para el ciberespionaje. La arquitectura modular del software, diseñada para proporcionar extensibilidad a los desarrolladores web, puede ser una herramienta útil para que los atacantes se conviertan en parte del servidor IIS e intercepten o modifiquen su tráfico.

Todavía es bastante raro que el software de seguridad de endpoints (y otros) se ejecute en servidores IIS, lo que facilita que los atacantes operen sin ser notados durante largos períodos de tiempo. Esto debería ser perturbador para todos los portales web serios que desean proteger los datos de sus visitantes, incluida la información de autenticación y pago. Las organizaciones que usan OWA también deben prestar atención, ya que depende de IIS y podría ser un objetivo interesante para el espionaje.

Si bien las amenazas del servidor IIS no se limitan al malware IIS nativo, creemos que este documento será un punto de partida útil para que los defensores comprendan, identifiquen y eliminen las amenazas IIS, y una guía para que nuestros colegas investigadores realicen ingeniería inversa en esta clase de amenazas y comprendan sus tácticas, técnicas y procedimientos comunes.

Se pueden encontrar detalles técnicos adicionales sobre el malware y los indicadores de compromiso en nuestro completo informe técnico y en GitHub. Para cualquier consulta o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en: amenazaintel@eset.com.

Agradecimientos a los compañeros investigadores de malware de ESET Marc-Étienne Léveillé y Mathieu Tartar por su trabajo en esta investigación.



Enlace a la noticia original