MicrosoftのサーバOS上で動作するWebサーバの実装に、IISというものがあります。
Internet Information Servicesの略でIISです。
このWebサーバは、モジュールを組み込むことができる機構を備えていて、IISそのものの機能を比較的容易に拡張することができる構造となっています。
これは通常の用途のアプリケーションのための機能拡張を想定したものとなっています。
しかし、それをだれがどう利用するのかは、利用者(開発者)次第とも言えます。
このモジュールを組み込むことができるという拡張性は、多くのアプリケーションで利用されていますが、マルウェアでも多く利用されています。
2018年以降に観測されているマルウェアのなかの、実に80を超える数のマルウェアがこのIISのモジュールの形式で実装されています。
これらのマルウェアでは次のような機能が実現されています。
- バックドア機能
文字通り、IISの動作している機器をリモートで操作する機能です。 - 情報搾取機能
IISとIIS利用者(WebサーバとWebサーバ利用者)の間の通信を傍受し、ログイン資格情報や支払い情報などの情報を盗みます。 - 差し込み機能
訪問者に送信される本来のHTTP応答を変更し、悪意のあるコンテンツが含まれた状態にして返します。 - プロキシー機能
Webサーバ利用者を被害者とできるようなC2サーバとの中継機能を提供します。 - SEO詐欺機能
検索実施時により上位に表示させるようにするため、検索エンジンのクローラーに提供するコンテンツを変更します。
これらのマルウェアの機能はどれも強力なものと言えます。
しかし、そもそもこれらのマルウェアの実装されているモジュールを組み込んでしまうことがなければ、問題ないとも言えます。
ユーザとしての活動の中でソフトウェアの入手経路に注意を払うことは重要です。
そしてそれと同等かそれ以上に、サーバ管理者としての活動においても、ソフトウェアの入手経路に注意を払うことは重要です。
参考記事(外部リンク):Several Malware Families Targeting IIS Web Servers With
Malicious Modules
thehackernews.com/2021/08/several-malware-families-targeting-iis.html
| この記事をシェア |
|
|---|
