IIS 组件

对手可能会安装在 Internet 信息服务 (IIS) Web 服务器上运行的恶意组件以建立持久性。IIS 提供了几种扩展 Web 服务器功能的机制。例如，可以安装 Internet 服务器应用程序编程接口 (ISAPI) 扩展和筛选器来检查和/或修改传入和传出的 IIS Web 请求。扩展和筛选器作为 DLL 文件部署，导出三个函数：Get{Extension/Filter}Version、Http{Extension/Filter}Proc 和（可选）Terminate{Extension/Filter}。还可以安装 IIS 模块以扩展 IIS Web 服务器。(引用: Microsoft ISAPI Extension Overview 2017)(引用: Microsoft ISAPI Filter Overview 2017)(引用: IIS Backdoor 2011)(引用: Trustwave IIS Module 2013) 对手可能会安装恶意 ISAPI 扩展和筛选器来观察和/或修改流量、在受感染的机器上执行命令或代理命令和控制流量。ISAPI 扩展和筛选器可能有权访问所有 IIS Web 请求和响应。例如，对手可能会滥用这些机制来修改 HTTP 响应，以便将恶意命令/内容分发到先前受感染的主机。(引用: Microsoft ISAPI Filter Overview 2017)(引用: Microsoft ISAPI Extension Overview 2017)(引用: Microsoft ISAPI Extension All Incoming 2017)(引用: Dell TG-3390)(引用: Trustwave IIS Module 2013)(引用: MMPC ISAPI Filter 2012) 对手还可能安装恶意 IIS 模块来观察和/或修改流量。IIS 7.0 引入的模块提供与 ISAPI 扩展和筛选器相同的对 HTTP 请求和响应的不受限制的访问。IIS 模块可以编写为导出 RegisterModule 的 DLL，或作为 .NET 应用程序与 ASP.NET API 交互以访问 IIS HTTP 请求。(引用: Microsoft IIS Modules Overview 2007)(引用: Trustwave IIS Module 2013)(引用: ESET IIS Malware 2021)