新型基于C++的IIS恶意软件功能多样，模仿cmd.exe以保持隐蔽

安全研究人员发现了一种针对微软互联网信息服务（IIS）网络服务器的复杂恶意软件，利用C++语言部署高级规避技术和有效载荷传递机制。

该恶意软件将其核心进程伪装成合法的Windows命令行实用程序cmd.exe，以绕过检测，同时执行恶意活动。这些活动包括凭证窃取、横向移动和数据外泄。

Palo Alto Networks的Unit 42研究人员在对一家欧洲金融机构进行事件响应时发现了该恶意软件。攻击者利用了一个易受攻击的IIS模块，将恶意代码直接注入服务器内存，从而避免了基于文件的检测系统。

与传统的IIS恶意软件不同，这种新型恶意软件仅在内存中运行，并通过加密的HTTP/2通道与命令和控制（C2）服务器通信，模仿标准的管理流量。

该恶意软件的显著特点是其使用进程空洞化技术来伪装成cmd.exe。攻击者将恶意有效载荷注入到一个挂起的cmd.exe实例中，用自定义的C++例程替换其合法代码。这使得恶意软件能够继承受信任的进程名称，并规避行为分析工具。

以下是重建的代码片段，揭示了注入机制：

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPID);  LPVOID remoteMem = VirtualAllocEx(hProcess, NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);  WriteProcessMemory(hProcess, remoteMem, maliciousPayload, payloadSize, NULL);  CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)remoteMem, NULL, 0, NULL);

IIS 后门事件处理程序

该恶意软件采用了多种持久化机制，包括注册表键修改和服务创建，同时利用Windows管理规范（WMI）进行网络横向移动。

值得注意的是，它使用自定义的IIS过滤器拦截HTTP请求以保持隐蔽，并根据传入的流量模式动态改变其行为。

Unit 42的分析显示，这种基于C++的新型IIS恶意软件命令执行框架利用Windows的用户模式异步过程调用（APCs）来排队恶意任务，同时保持合法活动的表象。这种技术使攻击者能够执行侦察命令，如whoami、ipconfig和netstat，而不会触发端点检测警报。

建议安全团队监控IIS服务器是否存在异常的内存分配和具有开放网络连接的意外cmd.exe实例。

Palo Alto Networks已发布了检测规则，重点关注异常的WMI事件订阅和IIS模块加载模式。

截至发布时，尚未有针对底层IIS漏洞的补丁，因此配置强化和内存监控成为关键的防御措施。

原文来自: cybersecuritynews.com