Phân tích backdoor IIS Section Manager

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích backdoor IIS Section Manager
Trong một bài phân tích trước, mình có đề cập đến các module trong IIS, cũng như việc đăng ký để được IIS gọi. Các bạn có thể tham khảo tại đây nhé. Trong bài viết này mình đề cập đến mã độc chạy trong IIS được phân loại là Section Manager. Mã độc đăng ký để giám sát và xử lý các request, response. Hacker sẽ gửi các lệnh điều khiển thông qua các request đến mã độc Section Manage thực thi.
1704784332111.png
1660537315615.png
1660537735555.png
Mã độc sử dụng API SetRequestNotifications với tham số RQ_SEND_RESPONSE để đăng ký nhận các request và response. Với hàm này ngoài mã RQ_SEND_REPONSE còn có rất nhiều mã khác tương ứng với các chức năng khác nhau.
Constant​
Bitmask​
Description​
RQ_BEGIN_REQUEST​
0x00000001​
Indicates that IIS began processing a request.​
RQ_AUTHENTICATE_REQUEST​
0x00000002​
Indicates that IIS authenticated a request.​
RQ_AUTHORIZE_REQUEST​
0x00000004​
Indicates that IIS authorized a request.​
RQ_RESOLVE_REQUEST_CACHE​
0x00000008​
Indicates that IIS satisfied a request from the cache.​
RQ_MAP_REQUEST_HANDLER​
0x00000010​
Indicates that IIS mapped the handler for request.​
RQ_ACQUIRE_REQUEST_STATE​
0x00000020​
Indicates that IIS acquired the state for a request.​
RQ_PRE_EXECUTE_REQUEST_HANDLER​
0x00000040​
Indicates that IIS will execute a request handler.​
RQ_EXECUTE_REQUEST_HANDLER​
0x00000080​
Indicates that IIS executed a request handler.​
RQ_RELEASE_REQUEST_STATE​
0x00000100​
Indicates that IIS released the state for a request.​
RQ_UPDATE_REQUEST_CACHE​
0x00000200​
Indicates that IIS updated the cache.​
RQ_LOG_REQUEST​
0x00000400​
Indicates that IIS logged the request.​
RQ_END_REQUEST​
0x00000800​
Indicates that IIS ended a request.​

Chi tiết chúng ta có thể tham khảo thêm ở link của Microsoft.

Dưới đây chúng ta có thể thấy được danh sách các lệnh mã độc thực hiện như: Ping, Cmd, ReadFile, WriteFile, DeleteFile...
1660538378816.png
PING​
Kiểm tra mã độc hoạt động không, kết quả sẽ được phản hồi trong boyd của response​
ReadFile​
Đọc nội dung file trên server trả về cho hacher​
WriteFile​
Ghi file của hacker nên server​
DeleteFile​
Xóa file theo chỉ định của hacker​
CMD​
Chạy một process tùy ý​

Từ các lệnh trên chúng ta có thể thấy được mã độc điều khiển được toàn bộ server.
Nguồn tham khảo ảnh: securelist.com
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
backdoor iis sectionmanager
Bên trên