کامپوننتهای IIS
IIS Componentsتوضیحات
مهاجمان کامپوننتهای مخرب مانند ISAPI extension، filter یا IIS module را روی سرورهای IIS نصب میکنند. این کامپوننتها میتوانند ترافیک HTTP را مشاهده و تغییر دهند، دستورات اجرا کنند یا به عنوان proxy برای C2 عمل کنند.
روشهای شناسایی
نظارت بر نصب کامپوننتهای IIS جدید. بررسی ISAPI extensionها و filterها. شناسایی ماژولهای IIS مشکوک. تحلیل لاگهای IIS.
روشهای مقابله
نظارت بر کامپوننتهای IIS. محدود کردن نصب ماژولهای IIS. بررسی منظم کامپوننتهای نصب شده. استفاده از WAF. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
کامپوننت نرمافزار سرور
مهاجمان کامپوننتهای مخرب را در نرمافزارهای سرور نصب میکنند تا دسترسی مداوم داشته باشند. این تکنیک شامل نصب web shell، transport agent، SQL stored procedure و سایر کامپوننتهای سرور میشود. این کامپوننتها میتوانند برای اجرای دستورات، جمعآوری اطلاعات و ایجاد backdoor استفاده شوند.
سایر زیرتکنیکها (2)