攻撃者は、インターネット インフォメーション サービス (IIS) の拡張機能をサーバーへの秘密のバックドアとしてますます利用しています。これは、ターゲット環境の奥深くに隠れ、攻撃者に永続的な永続メカニズムを提供します。特定のインシデントや亜種に関する先行研究は公開されていますが、攻撃者が IIS プラットフォームをバックドアとして利用する方法については、一般的にほとんど知られていません。
サーバーに対する攻撃では、悪意のある IIS 拡張機能に遭遇する頻度は低く、攻撃者は多くの場合、スクリプトWeb シェルのみを第 1 段階のペイロードとして使用します。これにより、スクリプト Web シェルと比較して、悪意のある IIS 拡張機能の検出率が比較的低くなります。また、IIS バックドアは、ターゲット アプリケーションが使用する正当なモジュールと同じディレクトリにほとんど常駐し、クリーンなモジュールと同じコード構造に従うため、検出が困難です。ほとんどの場合、実際のバックドア ロジックは最小限のものであり、正当な IIS 拡張機能がどのように機能するかを広く理解していないと、悪意があると見なすことはできません。これにより、感染源を特定することも困難になります。
通常、攻撃者は最初にホストされたアプリケーションの重大な脆弱性を悪用して最初のアクセスを行い、スクリプト Web シェルを第 1 段階のペイロードとしてドロップします。その後、攻撃者は IIS バックドアをインストールして、サーバーへの極秘かつ永続的なアクセスを提供します。攻撃者は、目的に合わせてカスタマイズされた IIS モジュールをインストールすることもできます。これは、2022 年 1 月から 5 月にかけて行われた Exchange サーバーを標的としたキャンペーンや、カスタム IIS バックドアScriptModule.dllおよびApp_Web_logoimagehandler.ashx.b6031896.dllに関する以前の調査で観察されたとおりです。 .ターゲット アプリケーションに登録されると、バックドアは受信および送信要求を監視し、リモート コマンドの実行や、ユーザーが Web アプリケーションに対して認証を行う際にバックグラウンドで認証情報をダンプするなどの追加タスクを実行できます。
攻撃者が IIS バックドアをますます活用し続けることが予想されるため、インシデント対応担当者は、これらの攻撃がどのように機能するかの基本を理解して、それらをうまく識別して防御することが重要です。組織は、 Microsoft 365 Defenderを使用して防御をさらに強化できます。この保護機能は、このような調査と、サーバーの攻撃と侵害に対する独自の可視性によって通知されます。 Microsoft 365 Defender は、 脅威と脆弱性の管理やウイルス対策機能などの重要な保護機能を備えており、電子メール、ID、クラウド、エンドポイントにまたがるドメイン全体で保護を調整する包括的なソリューションを組織に提供します。
このブログ投稿では、IIS 拡張機能のしくみを詳しく説明し、攻撃者がバックドアとしてどのように悪用されているかについての洞察を提供します。また、防御側がこの脅威を特定して防御し、高度化するセキュリティ コミュニティに備えるために、昨年の IIS の脅威の状況に関する観察結果の一部を共有します。より具体的には、このブログでは次のトピックを扱います。
IIS 拡張機能について
IIS は、長年にわたって Windows プラットフォームの中核を成してきた柔軟な汎用 Web サーバーです。 IIS は、Web サイト、サービス、およびアプリケーションをホストするための、管理が容易でモジュール式の拡張可能なプラットフォームとして、多数の組織に重要なビジネス ロジックを提供します。 IIS のモジュラー アーキテクチャにより、ユーザーは必要に応じて Web サーバーを拡張およびカスタマイズできます。これらの拡張機能は、ネイティブ (C/C++) およびマネージ (C#、VB.NET) コード構造の形式をとることができ、このブログ投稿では後者に焦点を当てています。拡張機能は、モジュールとハンドラーとしてさらに分類できます。
IIS パイプラインは、要求を処理するために ASP.NET ランタイムによって開始される一連の拡張可能なオブジェクトです。 IIS モジュールとハンドラーは、パイプラインの拡張性の主要なポイントとして機能する .NET コンポーネントです。各要求は、単一の IIS ハンドラーによって処理される前に、複数の IIS モジュールによって処理されます。構成要素のセットと同様に、モジュールとハンドラーを追加して、ターゲット アプリケーションに必要な機能を提供します。さらに、ハンドラーは、URL、ファイル拡張子、HTTP メソッドなどの要求の特定の属性に応答するように構成できます。たとえば、 Aspnet_isapi.dllは、一般的な.aspx拡張子用に構成済みの IIS ハンドラーです。
カスタム マネージ IIS モジュールの作成
マネージ IIS モジュールを作成するには、コードでIHttpModuleインターフェイスを実装する必要があります。 IHttpModuleインターフェイスには、 Init()とDispose()のシグネチャを持つ 2 つのメソッドがあります。
Init()内で、モジュールは要求パイプラインで使用可能な任意の数の HTTP イベントと同期できます。以下に順番にリストします。
- BeginRequest
- AuthenticateRequest
- AuthorizeRequest
- ResolveRequestCache
- 要求状態の取得
- PreRequestHandlerExecute
- PostRequestHandlerExecute
- ReleaseRequestState
- UpdateRequestCache
- EndRequest
- PreSendRequestHeaders
- PreSendRequestContent
次に、新しく作成された拡張機能をターゲット アプリケーションにマップして、登録を完了する必要があります。一般に、正当な目的でマネージ モジュールをマップするために使用できる方法はいくつかあります。一方、攻撃者は次の手法を使用して、攻撃中に悪意のある IIS 拡張機能を登録していることを確認しました。
グローバル アセンブリ キャッシュ (GAC) PowerShell API への登録:共通言語ランタイム (CLR) を備えたすべてのデバイスは、グローバル アセンブリ キャッシュ (GAC) と呼ばれるデバイス全体のキャッシュをホストします。 GAC には、デバイス上の複数のアプリケーションによって共有されるように特別に指定されたアセンブリが格納されます。 GacInstall()は、モジュールをグローバル キャッシュに追加するための PowerShell API です。インストールが完了すると、モジュールはパス%windir%Microsoft.NETassemblyで使用可能になり、 appcmd.exeを使用して IIS ( w3wp.exe ) にマップされます。
appcmd.exeを使用して登録する: Appcmd.exeは、IIS を管理するための単一のコマンド ライン ツールです。モジュールやハンドラーの追加や削除など、すべての重要な側面は、ユーティリティを使用して実行できます。この場合、攻撃者は悪意のある拡張機能をターゲット アプリケーションの/binフォルダーにドロップし、 add moduleコマンドを使用してマップします。
gacutil.exeを使用して登録します。 Gacutil.exeは、Visual Studio に同梱されている .NET GAC ユーティリティです。このツールを使用すると、ユーザーは-Iオプションを使用して新しいモジュールをインストールするなど、GAC の内容を表示および操作できます。
web.configを使用して登録する:モジュールをアプリケーションの/binフォルダーにドロップした後、攻撃者はターゲット アプリケーションのweb.configまたはグローバル構成ファイルapplicationHost.configを編集して、モジュールを登録することもできます。
登録が成功すると、モジュールは IIS マネージャー アプリケーション内に表示されます。
カスタム IIS バックドアを使用した攻撃フロー
2022 年 1 月から 5 月にかけて、IIS 関連の検出により、Microsoft Exchange サーバーを標的とする興味深いキャンペーンが検出されました。 Web シェルは、 ProxyShell エクスプロイトによってパス%ExchangeInstallPath%FrontEndHttpProxyowaauthに投下されました。
偵察を行い、資格情報をダンプし、リモート アクセス方法を確立した後、攻撃者はFinanceSvcModel.dllという名前のカスタム IIS バックドアをフォルダーC:inetpubwwwrootbinにインストールしました。バックドアには、以下に詳述するように、インストールされたメールボックス アカウントの列挙や抽出用のメールボックスのエクスポートなど、Exchange 管理操作を実行する機能が組み込まれていました。
コマンド実行
リモート コマンドの実行には、powershell.exeを呼び出さずに PowerShell を実行するためのオープンソース プロジェクトであるPowerShDLLツールキットが使用されました。攻撃者は、関連する検出ロジックを回避するために、Exchange アプリケーション プール ( MSExchangeOWAAppPool ) のコンテキストでcmd.exeやpowershell.exeなどの一般的な Living Off The Land バイナリ (LOLBins) を呼び出すことを回避しました。
資格情報へのアクセス
攻撃者は WDigest レジストリ設定を有効にしました。これにより、システムは認証に WDigest プロトコルを使用するようになり、 lsass.exeがユーザーの平文パスワードのコピーをメモリに保持するようになりました。この変更により、攻撃者はハッシュだけでなく、実際のパスワードを盗むことができました。その後、Mimikatz が実行され、ローカル資格情報がダンプされ、 DCSYNC攻撃が実行されました。
リモートアクセス
攻撃者は、SSH のようなコマンドライン接続ツールであるplink.exeを使用しました。このツールにより、攻撃者はネットワーク制限を回避し、トンネル化された RDP トラフィックを介してサーバーにリモート アクセスすることができました。
流出
攻撃者は、Cookie EX_TOKENを含む巧妙に細工されたPOSTリクエストを送信することで、IIS バックドアを呼び出しました。モジュールは Cookie 値を抽出し、提供されたフィルターを使用してメールボックス エクスポート要求を開始します。
値は次のようにデコードされます。エクスポート パス。最後のコマンドの構文は次のとおりです。
以下の表は、バックドアで見つかったすべてのコマンドの詳細を示しています。
| 指示 | 説明 |
| テスト | Exchange 管理シェル (EMS) の読み込みを試行します – Add-PSSnapin Microsoft.Exchange.Management.Powershell.SnapIn |
| 箱 | すべてのUserPrincipalNamesを一覧表示します- foreach (Get-Mailbox の $name -ResultSize 無制限){ Write-Output $name.UserPrincipalName} |
| ep | 指定されたメールボックス名、開始日と終了日、およびエクスポート パスをフィルターとして指定して、 New-MailboxExportRequestコマンドレットを実行します。 |
| ゲップ | エクスポート リクエストに関連付けられたタスク ID を取得する |
| ルー | Exchange ログの改ざん |
IIS バックドアの種類
過去 1 年間に観察された悪意のあるマネージド (.NET) IIS 拡張機能を確認し、以下のセクションで詳しく説明するように、同様の機能や発信元などのさまざまな要因に基づいてこれらの拡張機能をグループ化しました。
Web シェルベースのバリアント
China Chopper のようなWeb シェルは、多数の標的型攻撃で広く使用されています。 China Chopper の使用が年々増加するにつれて、検出数も増加しました。その結果、攻撃者は進化し、同じ機能を維持するこれらの Web シェルの IIS モジュール ベースのバージョンを追加しました。このモジュールは、コードを実行するためにスクリプト バージョンで使用されているものと同じeval()手法を使用します。ほとんどのウイルス対策ソリューションは< %@page language=js%><%eval(request.item(<password>),”unsafe”);%>などのワンライナー Web シェルを検出しますが、同じコードをIIS モジュールでは検出率が低くなります。
モジュール バージョンでは、攻撃者が開始したPOSTリクエストに、スクリプト ベース バージョンと同様に、パラメータz1およびz2の引数とともにコードが含まれています。
別のバージョンでは、モジュールは DLL 内にハードコーディングされたバックドア ロジックを持ち、パラメーターz1 と z2のみを待機します。パラメータkfaeroには、「A-Q」の連続したアルファベットとして公開されたコマンドがあります。
スクリプト バージョンと同様に、IIS モジュールには、ディレクトリの一覧表示と作成、ファイルのダウンロードとアップロード、SQL アダプターを使用したクエリの実行、コマンドの実行など、同様の機能があります。コマンドを実行するために、攻撃者が開始したPOSTリクエストには、コマンド「 M」と引数が含まれています。
Antsword は、さまざまな標的型攻撃で広く使用されているもう 1 つの人気のある Web シェルです。 Web シェルのコードから着想を得たカスタム IIS モジュールが実際に確認されており、これには同様のアーキテクチャと機能が含まれています。これらの悪意のあるモジュールの興味深い新機能には、C# コードのファイルレス実行と、TCP ソケット接続を介したリモート アクセスが含まれます。
要求に基づいて、モジュールは 2 つのコード パスのいずれかを取ることができます。 /server-statusの場合、カスタムヘッダーLhposzrpの値からソケット接続が開始されます。
| 指示 | 説明 |
| FSoaij7_03Ip3QuzbIhvilKIsoM9a48DTkvQKdwtKNA | ソケット接続 |
| 8CDztbQb4fsQeU5AAuBs9OmRokoyFJ7F5Z | 接続を閉じる |
| 31FKvk8VDcqZMA3iAq3944wjg | データを送る |
| TU_LDzOsv | データを受信 |
その他の URL の場合、モジュールは「 A 」から「 R 」までの China Chopper スタイルのコマンド アーキテクチャに従います。追加の「 R 」コマンドにより、攻撃者は C# コードを反射的に実行できます。
オープンソースの亜種
IIS のバックドアの作成に関する GitHub プロジェクトは、しばらく前から利用可能になっています。主にレッドチーム コミュニティを教育するために共有されていますが、攻撃者も興味を持ち、これらのプロジェクトからコードを持ち出しています。例として、攻撃者によって積極的に利用されている公開プロジェクトを使用すると、元のコードには次の機能が含まれています。
| 指示 | 実装 |
| コマンド | cmd.exe /cでコマンドを実行 |
| パワーシェル | RunspaceFactory.CreateRunspace()経由で powershell を実行します |
| シェルコード | 提供されたシェルコードをuserinit.exeに挿入する |
この場合、野生の亜種は Cookie 名を変更し、残りのコードはそのままにします。
バックドアにwhoamiコマンドを提供すると、生成される Cookie の形式は次のようになります。
クッキー: BDUSS=P6zUsk/1xJyW4PPufWsx5w==
バックドアは、base64 でラップされた AES 暗号化ブロブで応答します。デコードされた出力の形式は次のとおりです。
IIS ハンドラ
前述のように、IIS ハンドラーは、要求パイプラインに対するモジュールと同じ可視性を持っています。ハンドラーは、特定の拡張機能または要求に応答するように構成できます。マネージド IIS ハンドラーを作成するには、コードでIHttpHandlerインターフェイスを実装する必要があります。 IHttpHandlerインターフェイスには、次のシグネチャを持つ 1 つのメソッドと 1 つのプロパティがあります。
ハンドラーは、 web.configファイルを直接編集するか、 appcmdユーティリティを使用して登録できます。ハンドラー構成は、ハンドラーが応答する必要がある URL または拡張子を指定するpathや、HTTP 要求タイプを指定するverbなど、いくつかの重要なフィールドを取ります。以下の例では、ハンドラーは .gif 拡張子で終わる画像リクエストにのみ応答します。
ハンドラーが正常にインストールされると、IIS マネージャー アプリケーションに表示されます。
分析されたハンドラーのほとんどは比較的単純で、コマンドを実行する機能のみが含まれていました。
興味深いことに、レスポンスのContent-Typeはimage/gifまたはimage/jpegに設定されており、 <pre>タグに出力が隠されている画像 URL を参照すると、デフォルトの画像が表示されます。これの考えられる理由は、ネットワーク インスペクションをバイパスすることである可能性があります。これは、イメージ ファイルは一般に悪意がないと見なされ、拡張子に基づいてフィルタリングおよび識別されるためです。
クレデンシャル スティーラー
このモジュールのサブセットは、送信要求のサインイン パターンを監視し、抽出された資格情報を暗号化された形式でダンプします。盗まれた資格情報により、攻撃者は、主要なバックドアが検出された場合でも、環境内にとどまることができます。
モジュールは、特定の要求を監視して、OWA アプリケーションの/auth.owaデフォルト URL などのサインイン アクティビティを特定します。要求を検査すると、モジュールは資格情報を.datファイルにダンプします。コンテンツはハードコードされた値で XOR を使用して暗号化され、base64 エンコーディングでラップされます。以下の画像は、デコードされたサンプル出力を示しています。
別の亜種では、モジュールは、さまざまな ASP.Net アプリケーションで使用される資格情報を渡すための共通のプレースホルダー変数を探します。ダンプされた資格情報は AES で暗号化され、Base64 エンコーディングでラップされており、 %programdata%log.txt にあります。
サーバー侵害に対する防御の改善
IIS バックドアを使用した攻撃がさらに増えることが予想されるため、組織は、サーバーを保護するためにセキュリティ プラクティスに従う必要があります。
最新のセキュリティ更新プログラムを適用する
サーバーに影響を与える脆弱性や構成ミスを特定して修正します。特に Exchange などのサーバー コンポーネントについては、最新のセキュリティ更新プログラムが利用可能になったらすぐに展開してください。 Microsoft Defender 脆弱性管理を使用して、これらのサーバーの脆弱性、構成ミス、疑わしいアクティビティを定期的に監査します。
ウイルス対策やその他の保護を有効にしておく
Windows ウイルス対策ソフトウェアと、ファイアウォール保護や MFA などのその他のセキュリティ ソリューションでサーバーを保護することが重要です。 Microsoft Defender ウイルス対策でクラウドによる保護と自動サンプル送信を有効にして、人工知能と機械学習を使用して、新しい未知の脅威を迅速に特定して阻止します。 Attack surface reduction ルールを使用して、資格情報の盗難や、PsExec および Windows Management Instrumentation (WMI) の疑わしい使用などの動作を自動的にブロックします。 改ざん防止機能を有効にして、攻撃者がセキュリティ サービスを停止できないようにします。
これらのセキュリティ制御がパフォーマンスに影響を与えたり、運用を混乱させたりするのではないかと心配している場合は、IT 専門家と協力して、これらの設定の真の影響を判断してください。セキュリティ チームと IT プロフェッショナルは、軽減策と適切な 設定の適用について協力する必要があります。
機密性の高い役割とグループを確認する
管理者、リモート デスクトップ ユーザー、エンタープライズ管理者などの高度な特権を持つグループを確認します。攻撃者は、これらのグループにアカウントを追加して、サーバー上で足場を固めます。これらのグループに疑わしい追加や削除がないか定期的に確認してください。 Exchange固有の異常を特定するには、 Exchange PowerShellの Get-ManagementRoleAssignmentコマンドレット。
アクセス制限
最小権限の原則を実践し、資格情報の健全性を維持します。ドメイン全体の管理者レベルのサービス アカウントは使用しないでください。 強力なランダム化されたジャストインタイムのローカル管理者パスワードを適用し、MFA を有効にします。 Microsoft Defender for Identity のLocal Administrator Password Solution (LAPS)などのツールを使用します。
IIS の仮想ディレクトリにアクセス制御リストの制限を設定します。また、Exchange ハイブリッド環境での受信者管理にのみ使用する場合は、オンプレミスの Exchange サーバーの存在を削除します。
アラートに優先順位を付ける
サーバー侵害の特徴的なパターンは、悪意のある動作を検出するのに役立ち、セキュリティ運用チームが侵害の初期段階に迅速に対応できるようにします。サーバーでの疑わしいアクティビティを示すアラートに注意を払い、すぐに調査してください。攻撃者がアクセスを取得した後、環境を探索するために数日を費やす期間である探索フェーズで攻撃を検出することが重要です。一般に、 w3wp.exeに由来するnet.exe 、 cmd.exeなどのプロセスに関連するアラートに優先順位を付けます。
構成ファイルと bin フォルダーを調べる
ターゲット アプリケーションのweb.configとApplicationHost.configを定期的に調べて、イメージ ファイルのハンドラーなどの疑わしい追加を特定します。また、アプリケーションのbinディレクトリやデフォルトの GAC の場所など、インストールされたパスを定期的にスキャンします。 appcmd.exeまたはgacutil.exeユーティリティを使用して、インストールされているモジュールのリストを定期的に検査することもお勧めします。
ハーディク・スリ
Microsoft 365 Defender 研究チーム
付録
Microsoft Defender ウイルス対策は、これらの脅威と関連する動作を次のマルウェアとして検出します。
- バックドア:MSIL/SuspIISModule.G!gen
- バックドア:MSIL/SuspIISModule.H!gen
- バックドア:MSIL/SuspIISModule.K!gen
- バックドア:MSIL/OWAStealer.B
- バックドア:MSIL/OWAStealer.C
- 動作:Win32/SuspGacInstall.B
エンドポイントの検出と応答 (EDR)
- 疑わしい IIS AppCmd の使用
ハンティング クエリ
疑わしい IIS モジュールの登録に関連する悪意のあるアクティビティを特定するには、次のクエリを実行します。
疑わしい IIS モジュールの登録
DeviceProcessEvents | |ここで、ProcessCommandLine には「appcmd.exe add module」があります | |ここで、InitiatingProcessParentFileName == “w3wp.exe”
DeviceProcessEvents | |どこで InitiatingProcessFileName == “powershell.exe” |ここで、ProcessCommandLine には「system.enterpriseservices.internal.publish」があります | |ここで、InitiatingProcessParentFileName == “w3wp.exe”
DeviceProcessEvents |ここで、ProcessCommandLine には「gacutil.exe /I」があります。 | |ここで、InitiatingProcessParentFileName == “w3wp.exe”
侵害の痕跡 (IOC)
| ファイル名 | SHA-256 |
| HttpCompress.dll | 4446f5fce13dd376ebcad8a78f057c0662880fdff7fe2b51706cb5a2253aa569 |
| HttpSessionModule.dll | 1d5681ff4e2bc0134981e1c62ce70506eb0b6619c27ae384552fe3bdc904205c |
| RewriterHttpModule.dll | c5c39dd5c3c3253fffdd8fee796be3a9361f4bfa1e0341f021fba3dafcab9739 |
| Microsoft.Exchange.HttpProxy。 HttpUtilities.dll |
d820059577dde23e99d11056265e0abf626db9937fc56afde9b75223bf309eb0 |
| HttpManageMoudle.dll | 95721eedcf165cd74607f8a339d395b1234ff930408a46c37fa7822ddddceb80 |
| IIS_backdoor.dll | e352ebd81a0d50da9b7148cf14897d66fd894e88eda53e897baa77b3cc21bd8a |
| FinanceSvcModel.dll | 5da41d312f1b4068afabb87e40ad6de211fa59513deb4b94148c0abde5ee3bd5 |
| App_Web_system_web.ashx.dll | 290f8c0ce754078e27be3ed2ee6eff95c4e10b71690e25bbcf452481a4e09b9d |
| App_Web_error.ashx.dll | 2996064437621bfecd159a3f71166e8c6468225e1c0189238068118deeabaa3d |
Comments