更多全球网络安全资讯尽在邑安全
安全研究人员发现了一种针对微软互联网信息服务(IIS)网络服务器的复杂恶意软件,利用C++语言部署高级规避技术和有效载荷传递机制。
该恶意软件将其核心进程伪装成合法的Windows命令行实用程序cmd.exe,以绕过检测,同时执行恶意活动。这些活动包括凭证窃取、横向移动和数据外泄。
Palo Alto Networks的Unit 42研究人员在对一家欧洲金融机构进行事件响应时发现了该恶意软件。攻击者利用了一个易受攻击的IIS模块,将恶意代码直接注入服务器内存,从而避免了基于文件的检测系统。
与传统的IIS恶意软件不同,这种新型恶意软件仅在内存中运行,并通过加密的HTTP/2通道与命令和控制(C2)服务器通信,模仿标准的管理流量。
该恶意软件的显著特点是其使用进程空洞化技术来伪装成cmd.exe。攻击者将恶意有效载荷注入到一个挂起的cmd.exe实例中,用自定义的C++例程替换其合法代码。这使得恶意软件能够继承受信任的进程名称,并规避行为分析工具。
以下是重建的代码片段,揭示了注入机制:
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPID);
LPVOID remoteMem = VirtualAllocEx(hProcess, NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, remoteMem, maliciousPayload, payloadSize, NULL);
CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)remoteMem, NULL, 0, NULL);
IIS 后门事件处理程序
该恶意软件采用了多种持久化机制,包括注册表键修改和服务创建,同时利用Windows管理规范(WMI)进行网络横向移动。
值得注意的是,它使用自定义的IIS过滤器拦截HTTP请求以保持隐蔽,并根据传入的流量模式动态改变其行为。
Unit 42的分析显示,这种基于C++的新型IIS恶意软件命令执行框架利用Windows的用户模式异步过程调用(APCs)来排队恶意任务,同时保持合法活动的表象。这种技术使攻击者能够执行侦察命令,如whoami、ipconfig和netstat,而不会触发端点检测警报。
建议安全团队监控IIS服务器是否存在异常的内存分配和具有开放网络连接的意外cmd.exe实例。
Palo Alto Networks已发布了检测规则,重点关注异常的WMI事件订阅和IIS模块加载模式。
截至发布时,尚未有针对底层IIS漏洞的补丁,因此配置强化和内存监控成为关键的防御措施。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/new-c-based-iis-malware-with-numerous-functionalities/
原文始发于微信公众号(邑安全):新型基于C++的IIS恶意软件功能多样,模仿cmd.exe以保持隐蔽
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论