Hero Image

Bösartige IIS-Erweiterungen öffnen unbemerkt dauerhafte Hintertüren zu Servern

Quelle: microsoft.com

Angreifer nutzen zunehmend Erweiterungen der Internet-Informationsdienste (IIS) als verdeckte Hintertüren in Servern, die sich tief in Zielumgebungen verstecken und Angreifern einen dauerhaften Mechanismus bieten. Zwar wurden bereits frühere Untersuchungen zu bestimmten Vorfällen und Varianten veröffentlicht, doch ist im Allgemeinen wenig darüber bekannt, wie Angreifer die IIS-Plattform als Hintertür nutzen.

Bösartige IIS-Erweiterungen sind bei Angriffen auf Server weniger häufig anzutreffen, da die Angreifer oft nur Skripte Web-Shells als Nutzlast der ersten Stufe verwenden. Dies führt zu einer relativ niedrigen Entdeckungsrate für bösartige IIS-Erweiterungen im Vergleich zu Skript-Web-Shells. IIS-Backdoors sind auch schwieriger zu erkennen, da sie sich meist in denselben Verzeichnissen befinden wie legitime Module, die von den Zielanwendungen verwendet werden, und sie folgen der gleichen Codestruktur wie saubere Module. In den meisten Fällen ist die eigentliche Backdoor-Logik minimal und kann ohne ein umfassenderes Verständnis der Funktionsweise legitimer IIS-Erweiterungen nicht als bösartig eingestuft werden, was es ebenfalls erschwert, die Infektionsquelle zu ermitteln.

In der Regel nutzen die Angreifer zunächst eine kritische Sicherheitslücke in der gehosteten Anwendung aus, um sich Zugang zu verschaffen, bevor sie ein Skript-Web-Shell als Nutzlast der ersten Stufe absetzen. Zu einem späteren Zeitpunkt installieren die Angreifer dann eine IIS-Backdoor, um einen äußerst verdeckten und dauerhaften Zugriff auf den Server zu ermöglichen. Angreifer können auch benutzerdefinierte IIS-Module für ihre Zwecke installieren, wie wir bei einer Kampagne beobachtet haben, die zwischen Januar und Mai 2022 auf Exchange-Server abzielte, sowie bei unseren früheren Untersuchungen zu den benutzerdefinierten IIS-Backdoors ScriptModule.dll und App_Web_logoimagehandler.ashx.b6031896.dll. Sobald die Backdoor bei der Zielanwendung registriert ist, kann sie ein- und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, wie z. B. das Ausführen von Remote-Befehlen oder das Auslesen von Anmeldedaten im Hintergrund, während sich der Benutzer bei der Webanwendung authentifiziert.

Da wir davon ausgehen, dass Angreifer weiterhin verstärkt IIS-Backdoors nutzen werden, ist es wichtig, dass Incident Responder die Grundlagen der Funktionsweise dieser Angriffe verstehen, um sie erfolgreich zu identifizieren und abzuwehren. Unternehmen können ihre Abwehr mit Microsoft 365 Defender weiter verbessern, dessen Schutzfunktionen auf Untersuchungen wie dieser und unserem einzigartigen Einblick in Serverangriffe und Kompromittierungen beruhen. Mit wichtigen Schutzfunktionen wie Bedrohungs- und Schwachstellenmanagement und Antivirenfunktionen bietet Microsoft 365 Defender Unternehmen eine umfassende Lösung, die den Schutz über Domänen hinweg koordiniert und E-Mail, Identitäten, Cloud und Endpunkte umfasst.

Verstehen der IIS-Erweiterungen

IIS ist ein flexibler, universeller Webserver, der seit vielen Jahren ein Kernstück der Windows-Plattform ist. Als einfach zu verwaltende, modulare und erweiterbare Plattform für das Hosting von Websites, Diensten und Anwendungen dient IIS zahlreichen Unternehmen als wichtige Geschäftslogik. Die modulare Architektur von IIS ermöglicht es Benutzern, Webserver nach ihren Bedürfnissen zu erweitern und anzupassen. Diese Erweiterungen können in Form von nativen (C/C++) und verwalteten (C#, VB.NET) Codestrukturen erfolgen, wobei wir uns in diesem Blogbeitrag auf letztere konzentrieren. Die Erweiterungen können weiter in Module und Handler unterteilt werden.

Die IIS-Pipeline ist eine Reihe von erweiterbaren Objekten, die von der ASP.NET-Laufzeit initiiert werden, um eine Anfrage zu verarbeiten. IIS-Module und -Handler sind .NET-Komponenten, die als Hauptpunkte der Erweiterbarkeit in der Pipeline dienen. Jede Anforderung wird von mehreren IIS-Modulen verarbeitet, bevor sie von einem einzigen IIS-Handler verarbeitet wird. Wie eine Reihe von Bausteinen werden Module und Handler hinzugefügt, um die gewünschte Funktionalität für die Zielanwendung bereitzustellen. Darüber hinaus können Handler so konfiguriert werden, dass sie auf bestimmte Attribute in der Anfrage reagieren, z. B. URL, Dateierweiterung und HTTP-Methode. Zum Beispiel ist _Aspnetisapi.dll ein vorkonfigurierter IIS-Handler für gängige .aspx-Erweiterungen.

Angriffsablauf mit einer benutzerdefinierten IIS-Backdoor

Zwischen Januar und Mai 2022 entdeckten unsere IIS-bezogenen Erkennungen eine interessante Kampagne, die auf Microsoft Exchange-Server abzielte. Web-Shells wurden im Pfad %ExchangeInstallPath%\FrontEnd\HttpProxy\owa\auth\ über ProxyShell-Exploit abgelegt.

Nach einer Phase der Erkundung, des Dumpings von Anmeldeinformationen und der Einrichtung einer Fernzugriffsmethode installierten die Angreifer eine benutzerdefinierte IIS-Backdoor namens FinanceSvcModel.dll im Ordner C:\inetpub\wwwroot\bin\. Die Backdoor verfügte über integrierte Funktionen zur Durchführung von Exchange-Verwaltungsvorgängen, z. B. zum Aufzählen installierter Postfachkonten und zum Exportieren von Postfächern für die Exfiltration, wie im Folgenden beschrieben.  

Weiteres kann auf der Microsoft Seite angeschaut werden.