標的型攻撃において、Windows Server の IIS(Internet Information Services)の拡張機能を利用してバックドアを仕掛ける攻撃がますます増えているようです。
Microsoft Defender Research Team は昨年も警告を発していましたが、攻撃者が IIS プラットフォームをバックドアとしてどのように利用するかについて記載しています。
Malicious IIS extensions quietly open persistent backdoors into servers - Microsoft Security Blog
これによると、脆弱性をついて IIS 拡張機能にバックドアを仕掛ける手段として、Web Shell が多くの場合に利用されるそうです。
私も以前(Windows Server 2003 の頃)IIS 拡張について調べた事がありますが、プラグインするモジュールを差し込めるアーキテクチャは今も同じようですね。
そこへ正当なモジュールと同じようにバックドアのモジュールを仕掛けられてしまうと、検出するのはかなり厄介なことになるようです。
IIS バックドアの詳細については、上記のブログにかなり事細かに記載されています。
そしてサーバーを保護する防御については、以下がお勧めされています。
- 最新のセキュリティ更新プログラムを適用する
- ウイルス対策、その他の保護を有効にする
- 高度な特権グループに不審なアカウントが追加削除さた形跡がないか確認する
- 最小限のアクセス権に制限し、ドメイン全体の管理者レベルのサービスアカウントを使ったりしない
- 侵害の初期段階の不審なアクティビティアラートに注意する
- config ファイルや bin ディレクトリ、GAC(Global Assembly Cache)に疑わしい追加がないか、定期的に検査する