MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1505.004: Компоненты IIS

Для закрепления в системе злоумышленники могут устанавливать вредоносные компоненты, работающие на веб-серверах Internet Information Services (IIS). IIS имеет несколько механизмов расширения функциональности веб-серверов. Например, можно установить расширения и фильтры интерфейса прикладного программирования для серверных приложений (ISAPI), чтобы проверять и (или) изменять входящие и исходящие веб-запросы IIS. Расширения и фильтры устанавливаются в виде DLL-файлов, в которых имеются три экспортируемые функции: Get{Extension/Filter}Version, Http{Extension/Filter}Proc и (опционально) Terminate{Extension/Filter}. Для расширения функциональности веб-серверов IIS также могут быть установлены модули IIS.

Злоумышленники могут устанавливать вредоносные расширения и фильтры ISAPI для мониторинга и (или) изменения трафика, выполнения команд на скомпрометированных компьютерах или проксирования трафика управления. Расширения и фильтры ISAPI могут иметь доступ ко всем веб-запросам и ответам IIS. Например, злоумышленник может использовать эти механизмы для модификации HTTP-ответов и отправки вредоносных команд или вредоносного контента на ранее скомпрометированные хосты.

Злоумышленники также могут устанавливать вредоносные модули IIS для мониторинга и (или) модификации трафика. В IIS 7.0 появились модули, имеющие такой же неограниченный доступ к HTTP-запросам и ответам, как и расширения и фильтры ISAPI. Модули IIS могут быть написаны в виде DLL-библиотек, экспортирующих функцию RegisterModule, или в виде .NET-приложений, которые обращаются к API ASP.NET для доступа к HTTP-запросам IIS.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_persistence: PT-CR-568: IIS_Native_Module_Installation: Обнаружена попытка установить модуль расширения Internet Information Services с помощью утилиты аppcmd.exe

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor execution and command-line arguments of AppCmd.exe, which may be abused to install malicious IIS modules.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for modification of files (especially DLLs on webservers) that could be abused as malicious ISAPI extensions/filters or IIS modules. Changes to %windir%\system32\inetsrv\config\applicationhost.config could indicate an IIS module installation.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for creation of files (especially DLLs on webservers) that could be abused as malicious ISAPI extensions/filters or IIS modules.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Do not allow administrator accounts that have permissions to add IIS components to be used for day-to-day operations that may expose these permissions to potential adversaries and/or other unprivileged systems.

IDM1038НазваниеЗащита от выполненияОписание

Restrict unallowed ISAPI extensions and filters from running by specifying a list of ISAPI extensions and filters that can run on IIS.

IDM1047НазваниеАудитОписание

Regularly check installed IIS components to verify the integrity of the web server and identify if unexpected changes have been made.

IDM1045НазваниеПодпись исполняемого кодаОписание

Ensure IIS DLLs and binaries are signed by the correct application developers.