■ このスレッドは過去ログ倉庫に格納されています
【PC】ESET、マイクロソフトのウェブサーバーソフトウェアに仕掛けられる新たなバックドアを検出 「IISpy」と命名、長期的にスパイ活動 [樽悶★]
- 1 :樽悶 ★:2021/12/01(水) 19:58:23.52 ID:9ODmz3Qu9.net
- 図1. IISpyバックドアの管理の仕組み
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/1.jpg
図2. IISpyを管理するHTTPリクエストの形式
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/2.jpg
図3. IISpyのRegisterModuleエクスポート
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/3.jpg
図4. IISpyのコアクラスは、3つのイベントハンドラを実装
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/4.jpg
図5. IISpyは攻撃者のリクエストに関するログエントリを変更する
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/5.jpg
ESETの研究者は、マイクロソフト社のウェブサーバーソフトウェアであるIIS(Internet Information Services)の拡張機能として実装されている新しいバックドアを検出・分析しました。ESETは、このバックドアをIISpyと命名しました。IISpyは、長期間スパイ活動を行なうため、さまざまなトリックでサーバーのログ機能に干渉し、検出を回避します。ESETのセキュリティソリューションは、IISpyをWin{32,64}/BadIISとして検出します。
■攻撃の概要
ESETのテレメトリ(監視データ)によると、このバックドアは少なくとも2020年7月から活動しており、特権昇格ツールであるJuicy Potato(ESETのセキュリティソリューションではWin64/HackTool.JuicyPotatoとして検出)と一緒に使用されていました。攻撃者は、何らかの脆弱性を最初に攻撃してIISサーバーへのアクセス権限を取得し、次にJuicy Potatoを利用してIISpyをIISのネイティブ拡張機能として インストールするために必要な管理者権限を取得していると考えられます。
ESETのテレメトリによると、カナダ、米国、オランダにある数台のIISサーバーがIISpyの影響を受けていますが、管理者はIISサーバーでセキュリティソフトウェアを使用していないことが多く、ESETが監視しているIISサーバーが限定されていることからも、この統計データはこの問題の全体像を示しているわけではないと考えられます。
IISpyはIISの拡張機能として構成されるため、侵害されたIISサーバーが受信したすべてのHTTPリクエストを見ることができ、サーバーが応答するHTTPレスポンスに影響を与えることができます。IISpyは、このチャネルを使用してC&Cと通信し、受動的なネットワークインプラントとして動作します。図1に示すように、(バックドアではなく)オペレータは、侵害されたサーバーに特別なHTTPリクエストを送信して、接続を開始します。バックドアは、攻撃者のリクエストを認識し、リクエストに埋め込まれたバックドアコマンドを抽出して実行し、コマンドの出力を追加するようにHTTPレスポンスを変更します。
利用されるバックドアコマンドは以下のとおりです。
・システム情報の取得
・ファイルのアップロード/ダウンロード
・ファイルやシェルコマンドの実行
・リバースシェルの作成
・ファイルやフォルダの作成/リストアップ/移動/名前変更/削除
・ローカルドライブとリモートドライブ間でのマッピングの作成
・収集したデータの外部への送信
IISpyは、正規のユーザーが侵害されたIISサーバーに送信したほかすべてのHTTPリクエストは無視します。これらのリクエストは正規のサーバーモジュールによって処理されます。
※省略
IISpyは、IISウェブサーバーソフトウェアの機能拡張を悪用する複雑なサーバーサイドバックドアであり、常駐化、コマンド実行、C&Cと通信する仕組みが組み込まれています。通常のネットワークトラフィックに紛れ込んだり、証拠となるログを消去したりするトリックを実装しており、セキュリティが侵害されたIISサーバーで長期的にスパイ活動を行なうために設計されています。
たとえば、ExchangeメールサーバーでOutlook on the Web(OWA)サービスを有効にしている組織など、サーバーで機密データを扱っている組織は十分な注意が必要です。OWAはIIS経由で実装されており、スパイ活動の格好の標的となっています。(続きはソース)
2021年11月30日 14時00分
https://ascii.jp/elem/000/004/076/4076467/
https://eset-info.canon-its.jp/files/user/malware_info/images/special/211130/0.jpg
- 2 :ニューノーマルの名無しさん:2021/12/01(水) 19:58:46.35 ID:9ODmz3Qu0.net
- >>1
ランサムウェアの脅威から守ってくれるのはカスペルスキーだけ!!
https://content.kaspersky-labs.com/lp/press-releases/2021/KL-AVTEST-Ransomware-1.png
- 3 :ニューノーマルの名無しさん:2021/12/01(水) 19:59:13.47 ID:j2yA9PQQ0.net
- Windowsのバックドアも何とかしてくれ
- 4 :ニューノーマルの名無しさん:2021/12/01(水) 20:00:21.43 ID:875LY+bL0.net
- (◜ω◝)
- 5 :ニューノーマルの名無しさん:2021/12/01(水) 20:00:22.92 ID:npt+M6Lw0.net
- IISをパブリック状態で使う会社なんてあるのか
今の時代、そんな会社……まぁ…あるのか…困ったな…
- 6 :ニューノーマルの名無しさん:2021/12/01(水) 20:01:21.65 ID:51x2lw6u0.net
- ESETダウンロードしなければ…
- 7 :ニューノーマルの名無しさん:2021/12/01(水) 20:01:54.77 ID:N27/8NN10.net
- マッチポンプ
- 8 :ニューノーマルの名無しさん:2021/12/01(水) 20:03:45.28 ID:BbaTxLp60.net
- マイクロソフトのテレメトリ機能が・・・
- 9 :ニューノーマルの名無しさん:2021/12/01(水) 20:05:48.00 ID:ucjVU5M60.net
- ちょうどAmazonでESET買ったとこ
今安い
- 10 :ニューノーマルの名無しさん:2021/12/01(水) 20:06:39.74 ID:IxUp9lYq0.net
- 見つかっちゃったものはしょうがない的な
- 11 :ニューノーマルの名無しさん:2021/12/01(水) 20:07:56.98 ID:QHinmgZw0.net
- >>5
半分ぐらいIISらしいぞ
偽称してるだけかもしれんが
- 12 :ニューノーマルの名無しさん:2021/12/01(水) 20:11:05.08 ID:b3zf3p/80.net
- pup Genericって検出して手に負えなさそうだから初期期しちゃったよ
- 13 :ニューノーマルの名無しさん:2021/12/01(水) 20:14:11.02 ID:lGtC3Wif0.net
- もういいよ。どうせアメリカには何やっても情報抜かれるんだから。
中国よりはマシ。
どうしても大事な事なら手紙でやり取りすればいい。
- 14 :ニューノーマルの名無しさん:2021/12/01(水) 20:18:42.79 ID:aJD8Izs/0.net
- やるやんESET
- 15 :ニューノーマルの名無しさん:2021/12/01(水) 20:24:14.77 ID:UvCc/52O0.net
- Defenderだけじゃ信用できないからESET入れてるわ
- 16 :ニューノーマルの名無しさん:2021/12/01(水) 20:26:59.12 ID:6M2Dzmm60.net
- 軽くて非常に使いやすいよね
- 17 :ニューノーマルの名無しさん:2021/12/01(水) 20:27:31.16 ID:jkzS6l+/0.net
- つまりMicrosoftがやっていたのか?
- 18 :ニューノーマルの名無しさん:2021/12/01(水) 20:28:32.49 ID:yyYigyrB0.net
- よくできてんな
- 19 :ニューノーマルの名無しさん:2021/12/01(水) 20:31:34.38 ID:0ZwToJAI0.net
- MSと朝日新聞の共通点はマッチポンプ
- 20 :ニューノーマルの名無しさん:2021/12/01(水) 20:32:50.63 ID:gdlFlSMN0.net
- で、どうすればいいの?
- 21 :ニューノーマルの名無しさん:2021/12/01(水) 20:35:42.82 ID:B2Nzq2Q20.net
- この10年くらい、ESETファミリーを更新し続けてるわ
邪魔な感じ一切しないし、安くてなんか丁度良い
- 22 :ニューノーマルの名無しさん:2021/12/01(水) 20:36:15.29 ID:IErFqQQJ0.net
- ピザーラとかIIS使ってるところは結構あるな
- 23 :ニューノーマルの名無しさん:2021/12/01(水) 20:37:48.55 ID:kRnOtWMT0.net
- インターネットは悪意に満ちているな
- 24 :ニューノーマルの名無しさん:2021/12/01(水) 20:38:00.45 ID:oRzuWwvs0.net
- 民主党は盗聴しかけたりバックドア仕込んだり
そんなに同盟国を信用できないの?
- 25 :ニューノーマルの名無しさん:2021/12/01(水) 20:39:14.42 ID:HVfj6Fc30.net
- ESETは軽いからマジで良い。
- 26 :ニューノーマルの名無しさん:2021/12/01(水) 20:40:26.24 ID:96SHAOjd0.net
- いまだにIIS使ってるとこってActiveXも使ってるのかな
- 27 :ニューノーマルの名無しさん:2021/12/01(水) 20:43:45.22 ID:tX9yljaB0.net
- >>1
MS謹製スパイウェアwwwwwwww
- 28 :ニューノーマルの名無しさん:2021/12/01(水) 20:44:50.06 ID:+GpU8TmW0.net
- アンインストールが面倒臭いやつだな
- 29 :ニューノーマルの名無しさん:2021/12/01(水) 20:46:37.39 ID:vFrHZQkg0.net
- >>1
WSLでNginxでも使っとけよw
- 30 :ニューノーマルの名無しさん:2021/12/01(水) 20:46:55.29 ID:PtzRIAgn0.net
- 良い名前付けたった! ってニヤニヤしてんのかな
- 31 :ニューノーマルの名無しさん:2021/12/01(水) 20:47:32.75 ID:tX9yljaB0.net
- >>20
窓とIIS消して
Ubuntu入れてNginxでも使えばおk
- 32 :ニューノーマルの名無しさん:2021/12/01(水) 20:49:40.75 ID:51x2lw6u0.net
- >>27
やっぱりMSが意図的に入れたの?
- 33 :ニューノーマルの名無しさん:2021/12/01(水) 20:50:38.73 ID:yI9Xbv+m0.net
- >>1
めんどくせーな
Cloudflare Serverで良いよもう・・・・・・
- 34 :ニューノーマルの名無しさん:2021/12/01(水) 20:50:48.96 ID:Fr4EPdvh0.net
- マイグロソフト
- 35 :ニューノーマルの名無しさん:2021/12/01(水) 20:50:59.25 ID:3fVeaKbw0.net
- Cloudflareがトレンドだ
- 36 :ニューノーマルの名無しさん:2021/12/01(水) 20:52:37.76 ID:JFVuXFWa0.net
- IISか
クラウド化が広まってから、Windowsサーバで固めてるとこ多くなったよなぁ
一昔前だとメインはLinuxサーバでADだとか一部Windowsサーバっていう構成が多かった気がするが、
今やDBサーバなんかももう全部Windowsでやってるとこ多い印象
そして同時に技術力が下がっていってる感が。。
GUI上のボタンの押し方を知ってるだけで根本的な仕組みを理解してない人が増えちゃってる
- 37 :ニューノーマルの名無しさん:2021/12/01(水) 20:54:41.05 ID:tX9yljaB0.net
- >>36
わざわざ自力で最適化とか設定とかする事が無くなっていく・・・・・・
- 38 :ニューノーマルの名無しさん:2021/12/01(水) 20:56:49.46 ID:aX8RraPT0.net
- MSのセキュリティ更新は存在がばれたバックドアをつぶして別のを作るってのを延々やってるだけだからな
- 39 :ニューノーマルの名無しさん:2021/12/01(水) 20:59:46.34 ID:cJbX/Zof0.net
- 見たとこで俺の大量のエロ動画見て得するなら好きにしろよ
何なら肝炎も見てくか?w
- 40 :ニューノーマルの名無しさん:2021/12/01(水) 21:04:27.93 ID:apPXiXs60.net
- 私、何言ってるかわかりません。
これ誰が悪いのですか?
私はどうしたらいいのでしょうか?
- 41 :ニューノーマルの名無しさん:2021/12/01(水) 21:05:25.73 ID:Ueg1UoG90.net
- >>2
カスペルスキーを入れた方が良いのでしょか?
今までロシア製だから警戒してて
ノートンばかり使ってるわ
- 42 :ニューノーマルの名無しさん:2021/12/01(水) 21:05:44.30 ID:UdqxDI8c0.net
- windows10はESETを排除しようとしてるからね。
MSに都合の悪いことがあるんだろ
- 43 :ニューノーマルの名無しさん:2021/12/01(水) 21:05:44.54 ID:THKqg+Rt0.net
- MSでサーバー・・NTの頃から言われてるよな
- 44 :ニューノーマルの名無しさん:2021/12/01(水) 21:09:52.65 ID:+MuibdJR0.net
- 昔々、あるところに……インストールすると勝手にウェブページを公開してしまったり、非暗号化サービスをフルセットインストールしてしまうオペレーティングシステムがあったそうな……。
昔々の話じゃよ……。
- 45 :ニューノーマルの名無しさん:2021/12/01(水) 21:11:07.37 ID:UvCc/52O0.net
- MSって「悪いことをする人はお巡りさんが捕まえてくれる」という性善説に立ってSQLServerの管理者既定パスワードを空白にしてたぐらいのゆとり企業だからな。
- 46 :ニューノーマルの名無しさん:2021/12/01(水) 21:14:03.36 ID:Yum451j10.net
- >>2
犯人分かっちゃった
- 47 :ニューノーマルの名無しさん:2021/12/01(水) 21:15:24.39 ID:D1CTlRdv0.net
- 中国が作ったスパイウェアの話け?
- 48 :ニューノーマルの名無しさん:2021/12/01(水) 21:16:36.79 ID:/F6mwk7e0.net
- マイクロソフト社のオリジナル商品はROMベーシックだけだからね。
- 49 :ニューノーマルの名無しさん:2021/12/01(水) 21:20:29.93 ID:0ZwToJAI0.net
- 一年で何十回も再起動を要求されるWindowsサーバーって業務に使えるの?
- 50 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:03.92 ID:WIIL1ArA0.net
- WSLの追加アプリケーションのためにXWindowアプリ入れたらおかしくなった
- 51 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:27.46 ID:nE9q1+EF0.net
- ESET使ってるわ。軽いし安い
- 52 :ニューノーマルの名無しさん:2021/12/01(水) 21:21:42.05 ID:5Z36uNFP0.net
- ESETさん有能だな
- 53 :ニューノーマルの名無しさん:2021/12/01(水) 21:22:19.02 ID:+MuibdJR0.net
- >>49
定期再起動して使ってるよ(白目)
- 54 :ニューノーマルの名無しさん:2021/12/01(水) 21:25:32.94 ID:1AigrxW30.net
- スパイウェア同士って共存したりお互いを認識したりできるのかな
ある日ばったり出会っちゃったり
- 55 :ニューノーマルの名無しさん:2021/12/01(水) 21:26:07.76 ID:hDPMjyYm0.net
- >>40
Windows使うこと自体が間違い
- 56 :ニューノーマルの名無しさん:2021/12/01(水) 21:27:29.49 ID:axNSqeaN0.net
- ESETしか信用できるセキュリティソフトが無い
- 57 :ニューノーマルの名無しさん:2021/12/01(水) 21:30:13.93 ID:R1wYMDyq0.net
- まぁIISをパブリックWebサーバーとして使ってるケースは少ないだろうから
問題になるのはSharePointベースの簡易情報サイトとかかなぁ
どっちにしてもうちには関係ない話だ
- 58 :ニューノーマルの名無しさん:2021/12/01(水) 21:30:26.15 ID:YJhS/poJ0.net
- 安全なところはどこにもなさそうだな
- 59 :ニューノーマルの名無しさん:2021/12/01(水) 21:39:04.95 ID:3RyUXyNW0.net
- >>28
今の僕には理解できない
- 60 :ニューノーマルの名無しさん:2021/12/01(水) 21:41:17.74 ID:o6CGYJDe0.net
- ESETはもう10年来使っている
- 61 :ニューノーマルの名無しさん:2021/12/01(水) 21:58:49.10 ID:LKYtOtvI0.net
- 久々にニーモニック見たわ
- 62 :ニューノーマルの名無しさん:2021/12/01(水) 22:01:05.27 ID:6wtR/IZQ0.net
- >>59
恐れを知らない 戦士のように
振る舞うしかない
- 63 :ニューノーマルの名無しさん:2021/12/01(水) 22:05:54.82 ID:7DJDZK5r0.net
- ESETなんか好きで使ってるな。
他のより清潔感があるという印象
- 64 :ニューノーマルの名無しさん:2021/12/01(水) 22:13:20.62 ID:v+ga9zqc0.net
- 良いスパイなのか
- 65 :ニューノーマルの名無しさん:2021/12/01(水) 22:18:29.46 ID:zwWqy6hp0.net
- そもそもIISのアクセス権をとられるのがバックドア以前の問題だろ
- 66 :ニューノーマルの名無しさん:2021/12/01(水) 22:19:34.60 ID:Z8COW9G70.net
- うちもエセット
IISって95の頃サービスパックだかに添付されてたよね
- 67 :ニューノーマルの名無しさん:2021/12/01(水) 22:27:32.98 ID:WOpxQe500.net
- フード被らないとハック出来ないんか
- 68 :ニューノーマルの名無しさん:2021/12/01(水) 22:50:44.94 ID:JfSYvEa00.net
- ウィルスのデパート過ぎてもはやビルゲイツのWindowsがウィルスの本体
- 69 :ニューノーマルの名無しさん:2021/12/01(水) 22:56:50.09 ID:mvX6Bl/x0.net
- ESETは軽くて、仕事もよくしてくれるからいいよ。
俺も7年使ってるけど、よくガード検出してくれる。
- 70 :ニューノーマルの名無しさん:2021/12/02(木) 02:05:30.88 ID:8ThQjEW50.net
- バックドアがあったからって
ソレを利用する奴がいなけりゃどうという事はない
何をそんなにビビっているのか。
- 71 :ニューノーマルの名無しさん:2021/12/02(木) 02:32:51.67 ID:X0VUmfKH0.net
- ESET当たりだったのか?
- 72 :ニューノーマルの名無しさん:2021/12/02(木) 07:24:40.84 ID:guoRWCYM0.net
- そもそもwindows自体普段から使っているプロセス名一覧何処かに送信してるよね。あとネットのアクセスログも。
何かケツの穴の皺の数まで知ってそう。
- 73 :ニューノーマルの名無しさん:2021/12/02(木) 12:15:07.16 ID:yLN4lWXI0.net
- httpでやり取りとかしてたら個人のパソコンじゃまずわからないだろうね
FWやプロキシ認証とかないし
- 74 :ニューノーマルの名無しさん:2021/12/02(木) 17:45:02.54 ID:HGtcUKz/0.net
- ちょっとMSの悪口を書いたら俺の日常生活がCMになるのは偶然じゃなかったのか
- 75 :ニューノーマルの名無しさん:2021/12/02(木) 20:18:09.89 ID:ar19mJxH0.net
- 芸人ヒロシに触発されて山買った奴ら終わるwwwwww ヒロシがとんでもない暴露wwwwww
http://jooiy.donvogler.com/axt/vxRJ/071388220.html
- 76 :ニューノーマルの名無しさん:2021/12/04(土) 16:19:21.59 ID:tcrwj16V0.net
- エセット
総レス数 76
17 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★