Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1505.004 - Компоненты IIS

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1505 , T1505.001 , T1505.002 , T1505.003 , T1505.004 , T1505.005

Злоумышленники могут устанавливать вредоносные компоненты, работающие на веб-серверах Internet Information Services (IIS), чтобы установить постоянство. IIS предоставляет несколько механизмов для расширения функциональности веб-серверов. Например, можно установить расширения и фильтры интерфейса программирования приложений интернет-сервера (ISAPI), чтобы изучать и/или изменять входящие и исходящие веб-запросы IIS. Расширения и фильтры устанавливаются в виде DLL-файлов, экспортирующих три функции: Get{Extension/Filter}Version, Http{Extension/Filter}Proc, и (опционально) Terminate{Extension/Filter}.Модули IIS также могут устанавливаться для расширения веб-серверов IIS.(Цитата: Microsoft ISAPI Extension Overview 2017)(Цитата: Microsoft ISAPI Filter Overview 2017)(Цитата: IIS Backdoor 2011)(Цитата: Trustwave IIS Module 2013)

Злоумышленники могут устанавливать вредоносные расширения и фильтры ISAPI для наблюдения и/или модификации трафика, выполнения команд на взломанных машинах или проксирования команд и трафика управления. Расширения и фильтры ISAPI могут иметь доступ ко всем веб-запросам и ответам IIS.Например, злоумышленник может использовать эти механизмы для модификации HTTP-ответов с целью распространения вредоносных команд/контента на ранее включенные узлы.(Цитата: Microsoft ISAPI Filter Overview 2017)(Цитата: Microsoft ISAPI Extension Overview 2017)(Цитата: Microsoft ISAPI Extension All Incoming 2017)(Цитата: Dell TG-3390)(Цитата: Trustwave IIS Module 2013)(Цитата: MMPC ISAPI Filter 2012)

Злоумышленники также могут устанавливать вредоносные модули IIS для наблюдения и/или модификации трафика. В IIS 7.0 появились модули, предоставляющие такой же неограниченный доступ к HTTP-запросам и ответам, как и расширения и фильтры ISAPI.Модули IIS могут быть написаны в виде DLL, экспортирующей RegisterModule, или в виде .NET-приложения, взаимодействующего с API ASP.NET для доступа к HTTP-запросам IIS.(Цитата: Microsoft IIS Modules Overview 2007)(Цитата: Trustwave IIS Module 2013)(Цитата: ESET IIS Malware 2021)

https://attack.mitre.org/techniques/T1505/004

← Назад

Визуализация смежных техник для T1505.004

Отрасль:
 с подтехниками
Техника

Закрыть