T1505.004: Компоненты IIS
Для закрепления в системе злоумышленники могут устанавливать вредоносные компоненты, работающие на веб-серверах Internet Information Services (IIS). IIS имеет несколько механизмов расширения функциональности веб-серверов. Например, можно установить расширения и фильтры интерфейса прикладного программирования для серверных приложений (ISAPI), чтобы проверять и (или) изменять входящие и исходящие веб-запросы IIS. Расширения и фильтры устанавливаются в виде DLL-файлов, в которых имеются три экспортируемые функции: Get{Extension/Filter}Version
, Http{Extension/Filter}Proc
и (опционально) Terminate{Extension/Filter}
. Для расширения функциональности веб-серверов IIS также могут быть установлены модули IIS.
Злоумышленники могут устанавливать вредоносные расширения и фильтры ISAPI для мониторинга и (или) изменения трафика, выполнения команд на скомпрометированных компьютерах или проксирования трафика управления. Расширения и фильтры ISAPI могут иметь доступ ко всем веб-запросам и ответам IIS. Например, злоумышленник может использовать эти механизмы для модификации HTTP-ответов и отправки вредоносных команд или вредоносного контента на ранее скомпрометированные хосты.
Злоумышленники также могут устанавливать вредоносные модули IIS для мониторинга и (или) модификации трафика. В IIS 7.0 появились модули, имеющие такой же неограниченный доступ к HTTP-запросам и ответам, как и расширения и фильтры ISAPI. Модули IIS могут быть написаны в виде DLL-библиотек, экспортирующих функцию RegisterModule
, или в виде .NET-приложений, которые обращаются к API ASP.NET для доступа к HTTP-запросам IIS.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_persistence: PT-CR-568: IIS_Native_Module_Installation: Обнаружена попытка установить модуль расширения Internet Information Services с помощью утилиты аppcmd.exe
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor execution and command-line arguments of |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for modification of files (especially DLLs on webservers) that could be abused as malicious ISAPI extensions/filters or IIS modules. Changes to |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for creation of files (especially DLLs on webservers) that could be abused as malicious ISAPI extensions/filters or IIS modules. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Do not allow administrator accounts that have permissions to add IIS components to be used for day-to-day operations that may expose these permissions to potential adversaries and/or other unprivileged systems. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Restrict unallowed ISAPI extensions and filters from running by specifying a list of ISAPI extensions and filters that can run on IIS. |
---|
ID | M1047 | Название | Аудит | Описание | Regularly check installed IIS components to verify the integrity of the web server and identify if unexpected changes have been made. |
---|
ID | M1045 | Название | Подпись исполняемого кода | Описание | Ensure IIS DLLs and binaries are signed by the correct application developers. |
---|