恶意软件伪装成IIS模块加载多数防毒产品免杀

发布时间:2013-12-12 14:28 作者:佚名来源:LittleHann 点击:加载中...次

1、摘要

最近，国外安全公司发现了一些以DLL动态链接库形式存在的IIS模块存在恶意风险，这些恶意模块之所以受关注，很大原因是因为它们能躲过目前几乎所有的反病毒产品，攻击者借助这些模块发送恶意POST数据包，并遵循恰当的机制以此来获得敏感信息。

这种恶意程序的目标不仅仅局限于银行、电子商务网站的加密数据，同时还被用来获取例如登录账户及其他被发送到IIS实例上的数据(HTTP Header、MS-Chap令牌等)。同时要注意的是，这次发现的恶意软件漏洞和之前报告的恶意软件"Pony"没有任何关系。Pony主要针对的是终端用户，而这个IIS Module恶意程序主要是针对Web Server的。以下为报告译文：

下面是这次发现的恶意程序在各大反病毒引擎上的检查结果:

https://www.virustotal.com/en/file/587e784f8c54b49f25c01e0e8f71c205bd422e2b673fb7fbf28d721aa768e055/

事实证明，我所引用的这个DLL是一个IIS的原生安装模块，我想也该是时候对这种恶意程序进行一个总结了，之所以这么做，有以下2个原因:

a)在我写这篇文章的时候，大部分的反病毒软件都不会IIS目录下的DLL模块进行必要的检查(通过设置白名单等)，这导致了IIS的重要模块被替换后无法被杀毒软件捕获到异常。虽然病毒的安装程序(用于进行替换工作的程序)也只是被少数的反病毒软件检测出异常，因为这些检测出异常的杀毒引擎大多数采取了"启发式扫描";

b)我觉得这个恶意代码非常的精巧。

2、介绍

让我们先看一下这个病毒的安装程序。程序允许带许多参数变量以适应不同的环境:

-path : [恶意程序将被安装的路径]

-i : [目标URL地址, 例如 "/sensitive.aspx"

-u : [卸载恶意程序]

-is632 : [IIS6 32-Bit]

-is664 : [IIS6 64-Bit]

事实上,安装程序非常简单。它包含有四个内嵌的式DLL文件(在PE结构的资源节区中)，在安装的时候根据目标系统的版本进行动态选择:

IIS6 + 32-Bit

IIS6 + 64-Bit

IIS7 + 32-Bit

IIS7 + 64-Bit

此外，这个ISN恶意程序也有一个VBS文件被嵌入到了PE的资源节区中(文件的内容请参考引用部分)，这个VBS脚本文件用于安装或者卸载用于替换IIS模块的恶意DLL文件(即上面说到那4个DLL文件)。

一旦运行，ISN.exe将执行以下操作:

1. 将根据我们"-path"指定的位置，或者当前的工作目录。把VBS复制到这个路径下，为后面的安装做准备，这个VBS文件将在安装完成删除，不会留下痕迹。

2. 创建一个配置文件([文件].cfg)在同一个目录中。这个文件包含一个列表。

3. 恶意程序的目标URL列表。

4. 检查IIS版本以及攻击目标的操作系统架构。

5. 提取相应的DLL到安装目录(从PE的资源节区中)。

6. 调用VBS文件文件将恶意的DLL模块安装为IIS的模块。(IIS只是通过DLL的文件名进行动态加载，即使这是一个恶意程序，DLL签名技术在这里并不能起到防御作用)。

解压运行后的情况如下图：

在安装的过程中会产生一些日志信息，这些信息有助于我们判断安装是否成功以及失败的原因:

一旦成功安装的模块，它将监控在配置文件(isn.cfg)中指定的uri和dump(记录)任何捕获到的POST请求，将这些信息记录到[fileName].log中。该模块还将监控QUERY_STRING参数(IIS中的GPC参数，相当于PHP中的$_REQUEST)，并可以接受一些攻击者发送的命令(就像一个webshell一样)。我编写了一个简单的IIS实例来演示这个过程如何发生。

3. 演示

如下我们可以看到,我已经创建了一个简单的web表单,将模拟一个实际的电子商务网站。用户输入他们的名字和信用卡号码和提交信息，然后脚本"/buy.aspx"返回用户输入的数据。