Phân tích backdoor IIS Section Manager
Trong một bài phân tích trước, mình có đề cập đến các module trong IIS, cũng như việc đăng ký để được IIS gọi. Các bạn có thể tham khảo tại đây nhé. Trong bài viết này mình đề cập đến mã độc chạy trong IIS được phân loại là Section Manager. Mã độc đăng ký để giám sát và xử lý các request, response. Hacker sẽ gửi các lệnh điều khiển thông qua các request đến mã độc Section Manage thực thi.
Mã độc sử dụng API SetRequestNotifications với tham số RQ_SEND_RESPONSE để đăng ký nhận các request và response. Với hàm này ngoài mã RQ_SEND_REPONSE còn có rất nhiều mã khác tương ứng với các chức năng khác nhau.
Constant | Bitmask | Description |
---|---|---|
RQ_BEGIN_REQUEST | 0x00000001 | Indicates that IIS began processing a request. |
RQ_AUTHENTICATE_REQUEST | 0x00000002 | Indicates that IIS authenticated a request. |
RQ_AUTHORIZE_REQUEST | 0x00000004 | Indicates that IIS authorized a request. |
RQ_RESOLVE_REQUEST_CACHE | 0x00000008 | Indicates that IIS satisfied a request from the cache. |
RQ_MAP_REQUEST_HANDLER | 0x00000010 | Indicates that IIS mapped the handler for request. |
RQ_ACQUIRE_REQUEST_STATE | 0x00000020 | Indicates that IIS acquired the state for a request. |
RQ_PRE_EXECUTE_REQUEST_HANDLER | 0x00000040 | Indicates that IIS will execute a request handler. |
RQ_EXECUTE_REQUEST_HANDLER | 0x00000080 | Indicates that IIS executed a request handler. |
RQ_RELEASE_REQUEST_STATE | 0x00000100 | Indicates that IIS released the state for a request. |
RQ_UPDATE_REQUEST_CACHE | 0x00000200 | Indicates that IIS updated the cache. |
RQ_LOG_REQUEST | 0x00000400 | Indicates that IIS logged the request. |
RQ_END_REQUEST | 0x00000800 | Indicates that IIS ended a request. |
Chi tiết chúng ta có thể tham khảo thêm ở link của Microsoft.
Dưới đây chúng ta có thể thấy được danh sách các lệnh mã độc thực hiện như: Ping, Cmd, ReadFile, WriteFile, DeleteFile...
PING | Kiểm tra mã độc hoạt động không, kết quả sẽ được phản hồi trong boyd của response |
ReadFile | Đọc nội dung file trên server trả về cho hacher |
WriteFile | Ghi file của hacker nên server |
DeleteFile | Xóa file theo chỉ định của hacker |
CMD | Chạy một process tùy ý |
Từ các lệnh trên chúng ta có thể thấy được mã độc điều khiển được toàn bộ server.
Nguồn tham khảo ảnh: securelist.com
Chỉnh sửa lần cuối bởi người điều hành: