Техника на mitre.org

T1505.004: Компоненты IIS

Для закрепления в системе злоумышленники могут устанавливать вредоносные компоненты, работающие на веб-серверах Internet Information Services (IIS). IIS имеет несколько механизмов расширения функциональности веб-серверов. Например, можно установить расширения и фильтры интерфейса прикладного программирования для серверных приложений (ISAPI), чтобы проверять и (или) изменять входящие и исходящие веб-запросы IIS. Расширения и фильтры устанавливаются в виде DLL-файлов, в которых имеются три экспортируемые функции: Get{Extension/Filter}Version, Http{Extension/Filter}Proc и (опционально) Terminate{Extension/Filter}. Для расширения функциональности веб-серверов IIS также могут быть установлены модули IIS.

Злоумышленники могут устанавливать вредоносные расширения и фильтры ISAPI для мониторинга и (или) изменения трафика, выполнения команд на скомпрометированных компьютерах или проксирования трафика управления. Расширения и фильтры ISAPI могут иметь доступ ко всем веб-запросам и ответам IIS. Например, злоумышленник может использовать эти механизмы для модификации HTTP-ответов и отправки вредоносных команд или вредоносного контента на ранее скомпрометированные хосты.

Злоумышленники также могут устанавливать вредоносные модули IIS для мониторинга и (или) модификации трафика. В IIS 7.0 появились модули, имеющие такой же неограниченный доступ к HTTP-запросам и ответам, как и расширения и фильтры ISAPI. Модули IIS могут быть написаны в виде DLL-библиотек, экспортирующих функцию RegisterModule, или в виде .NET-приложений, которые обращаются к API ASP.NET для доступа к HTTP-запросам IIS.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-568: IIS_Native_Module_Installation: Обнаружена попытка установить модуль расширения Internet Information Services с помощью утилиты аppcmd.exe

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов (особенно DLL-библиотек на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команды `AppCmd.exe` с аргументами, которые могут использоваться для установки вредоносных модулей IIS .

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла `%windir%\system32\inetsrv\config\applicationhost.config` может свидетельствовать об установке модуля IIS.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте создание файлов (особенно DLL-библиотек на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команды `AppCmd.exe` с аргументами, которые могут использоваться для установки вредоносных модулей IIS .
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах (особенно DLL-библиотеках на веб-серверах), которые злоумышленники могли бы использовать в качестве расширений/фильтров ISAPI или модулей IIS. Изменение файла `%windir%\system32\inetsrv\config\applicationhost.config` может свидетельствовать об установке модуля IIS.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не позволяйте использовать учетные записи администраторов с правами на добавление компонентов IIS для выполнения повседневных операций, которые могут привести к раскрытию этих прав для потенциальных злоумышленников и (или) других непривилегированных систем.

ID	M1038	Название	Защита от выполнения	Описание	Ограничьте запуск неразрешенных расширений и фильтров ISAPI, указав список расширений и фильтров ISAPI, которые могут работать в IIS.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте установленные компоненты IIS, чтобы убедиться в целостности веб-сервера и определить, не были ли внесены неожиданные изменения.

ID	M1045	Название	Подпись исполняемого кода	Описание	Проследите, чтобы библиотеки IIS DLL и бинарные файлы были подписаны правильными разработчиками приложений.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Не позволяйте использовать учетные записи администраторов с правами на добавление компонентов IIS для выполнения повседневных операций, которые могут привести к раскрытию этих прав для потенциальных злоумышленников и (или) других непривилегированных систем.
M1038	Защита от выполнения	Ограничьте запуск неразрешенных расширений и фильтров ISAPI, указав список расширений и фильтров ISAPI, которые могут работать в IIS.
M1047	Аудит	Регулярно проверяйте установленные компоненты IIS, чтобы убедиться в целостности веб-сервера и определить, не были ли внесены неожиданные изменения.
M1045	Подпись исполняемого кода	Проследите, чтобы библиотеки IIS DLL и бинарные файлы были подписаны правильными разработчиками приложений.