微软表示，黑客越来越多地使用 IIS 扩展作为 Exchange 后门

据微软称，恶意 Internet 信息服务 (IIS) 扩展正日益成为黑客最喜欢的通往易受攻击的 Exchange 服务器的后门路径。

与 web shell 不同，带有恶意软件的 IIS 扩展的检测率较低，这使得犯罪者更容易在不被注意的情况下溜走。

此外，它们通过复制其结构并使用与对应模块相同的安装位置来密切模仿合法模块。由于它们的隐蔽性，检测这些扩展可能具有挑战性，从而使威胁行为者在受感染的系统上具有持久的持久性。

“通常，攻击者首先利用托管应用程序中的一个关键漏洞进行初始访问，然后再将脚本 Web shell 作为第一阶段有效负载，”根据 Microsoft 365 Defender 研究团队的博客文章。“稍后，攻击者会安装一个 IIS 后门，以提供对服务器的高度隐蔽和持久的访问。”

该公司表示，攻击者仍然更喜欢使用专门的“脚本 web shell 作为第一阶段的有效负载”，从而降低了恶意 IIS 扩展的可能性。扩展程序的诡计能力以及无法理解其合法类似物的工作原理可能会使准确确定感染源变得更加困难。

除了在受感染系统上实现持久持久性方面的低检测率和效率外，恶意软件缠身的 IIS 扩展还可以执行各种操作。向主机应用程序注册后，犯罪者可以使用后门来监控传入和传出请求、转储凭据、远程执行任意代码以及窃取数据。

恶意 IIS 扩展悄悄地向服务器打开持久性后门

攻击者越来越多地将 Internet 信息服务 (IIS) 扩展用作服务器的隐蔽后门，这些后门隐藏在目标环境的深处，并为攻击者提供了持久的持久性机制。虽然之前已经发表了关于特定事件和变体的研究，但对于攻击者如何利用 IIS 平台作为后门通常知之甚少。

恶意 IIS 扩展在针对服务器的攻击中很少遇到，攻击者通常只使用脚本Web shell作为第一阶段的有效负载。与脚本 Web shell 相比，这导致恶意 IIS 扩展的检测率相对较低。IIS 后门也更难检测，因为它们大多与目标应用程序使用的合法模块位于相同的目录中，并且它们遵循与干净模块相同的代码结构。在大多数情况下，实际的后门逻辑很少，如果不更广泛地了解合法 IIS 扩展的工作原理，就不能将其视为恶意，这也使得确定感染源变得困难。

通常，攻击者首先利用托管应用程序中的一个关键漏洞进行初始访问，然后再将脚本 Web shell 作为第一阶段有效负载。稍后，攻击者会安装一个 IIS 后门，以提供对服务器的高度隐蔽和持久的访问。正如我们在 2022 年 1 月至 2022 年 5 月期间针对 Exchange 服务器的活动以及我们之前对自定义 IIS 后门ScriptModule.dll和App_Web_logoimagehandler.ashx.b6031896.dll的研究中观察到的那样，攻击者还可以安装定制的 IIS 模块以满足他们的目的. 一旦注册到目标应用程序，后门就可以监控传入和传出请求并执行其他任务，例如在用户对 Web 应用程序进行身份验证时在后台运行远程命令或转储凭据。

由于我们预计攻击者将继续越来越多地利用 IIS 后门，因此事件响应者必须了解这些攻击如何发挥作用以成功识别和防御它们的基础知识。组织可以通过以下方式进一步提高防御能力微软 365Defender，其保护能力来自此类研究以及我们对服务器攻击和妥协的独特可见性。借助威胁和漏洞管理以及防病毒功能等关键保护功能，微软 365Defender 为组织提供了一个全面的解决方案，可以协调跨域、跨电子邮件、身份、云和端点的保护。

在这篇博文中，我们详细介绍了 IIS 扩展的工作原理，并深入了解攻击者如何将它们用作后门。我们还分享了我们在过去一年中对 IIS 威胁形势的一些观察，以帮助防御者识别和防御这种威胁，并为更大的安全社区做好准备，以应对任何日益复杂的问题。更具体地说，该博客涵盖以下主题：

https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

Microsoft 发布了一系列安全实践，系统管理员可以遵循这些实践来增强其服务器的防御能力：