趋势揭露一连串锁定IIS网页服务器的无档案攻击手法，呼吁企业要加以防范

因为难以被发现行踪，进阶持续性攻击的过程中，骇客运用无档案（Fileless）的攻击手法可说是日益泛滥，往往潜伏许久才会被发现。在2020台湾资安大会上，趋势科技资深威胁研究员Dove Chiu与Tim Yeh，揭露他们从一起APT事件的调查里，发现新型态的无档案攻击手法IIS-Share，骇客利用了IIS网页服务器，以及Windows的HTTP API，来打造极为隐蔽的后门程式，而根据他们的分析，保守估计骇客的后门至少存在3年以上。

这种攻击手法究竟有多难被发现？会后有听众向他们询问，企业能否透过网络防护措施，如防火墙或入侵防护系统（IPS）等，来发现相关攻击行为，Tim Yeh表示，实际上并不容易，因为，除非骇客不小心在HTTP表头字段（Server Header）留下证据，此时资安人员才有可能发现，在同一台网页服务器或是邮件服务器上，有些特定URL网页的表头字段，会与其他网页的不同，进而怀疑骇客可能植入隐形的网页木马，并进行调查。

有别于一般无档案攻击，骇客植入后门共运用4层迂回手法

至于趋势如何发现IIS-Share？Dove Chiu说，发现这起攻击行动的起源，在于他们于2017年底进行鉴识工作的时候，发现一台Exchange前端服务器上，出现可疑的执行绪（后来发现是TSVIPSrv.dll），进而展开调查，这个执行绪竟依附在系统档案WININIT.EXE上运作。经过一系列从内存内取出与还原的过程，他们推测是滥用Web Shell攻击手法，骇客疑似植入ISAPI（Internet Server Application Programming Interface）的Filter后门，来发动攻击。

由于ISAPI Filter牵涉到启动IIS服务器的运作，Dove Chiu指出，照理来说，上述过滤器档案的相关路径，应该会注册在指定的机码里。然而，诡异的是，当他们想要找到被滥用的DLL档案却扑了空，这台服务器主机并未出现对应的机码。调查到此，只能先暂时排除该Exchange服务器被植入ISAPI Filter的可能性。

断了这个线索后，Dove Chiu他们又回头检视攻击程式的程式码，发现其中的内容相当怪异，这是一个很大的循环且没有出口，同时只对GET和POST指令有所反应。再对于上述程式码进行解密后，才确认这是后门程式。但它到底又是如何载入Exchange服务器的呢？经过一番搜索，他们在开机记录里发现一个TSVIPSrv.dll，这个档案存在于System32系统资料夹里，而且还被锁定，Dove Chiu只能将档案复制出来进行分析，从而挖掘整起攻击大致发生的过程：骇客透过远端桌面连线服务载入了正常的SESSENV.DLL，然后利用DLL 劫持攻击手法，再将TSVIPSrv.dll植入系统，把它的执行绪注入到WININIT.EXE上运作。最后，骇客才将已被注入恶意软件的WININIT.EXE，登录在IIS服务器的机码上，让这个恶意的DLL档案依附在WININIT.EXE，跟着Exchange服务器一同执行。

但为何这种攻击手法如此难被发现？Dove Chiu指出，因为骇客不只没有在IIS服务器的Web资料夹里，留下任何实体的档案（Fileless）；上述的恶意档案TSVIPSrv.dll，整个攻击过程只会载入1次，一旦被注入WININIT.EXE，鉴识人员在内存里就看不到这个DLL执行（Processless）；再者，则是在IIS服务器的事件记录当中，REQUESTED.HTML也没有留下执行的记录（Logless），导致资讯人员难以发现异状。

在上述提及没有留下恶意程式档案、几乎看不到处理程序，以及不会有执行记录的情况下，骇客还针对TSVIPSrv.dll采用了一些反鉴识的手法，让资安人员即使发现异状，也难以进行调查，像是这个档案容量很大，再加上档案被锁定，使得有些扫描工具会略过或是无法检测。

类似这样的攻击手法，趋势后来在去年5月上旬开始，又发现了一系列的Welcome Server后门程式，他们实际测试，必须透过特殊的指令，才能让后门程式正常运作，这点与2017年发现的IIS-Share可说是相同。趋势在去年的5月下旬和11月初，再度看到骇客改版的后门程式Welcome Server，其中，在11月的时候，这个后门程式已经改将传输的内容加密，因此企业更难察觉攻击的迹象。此外，这种无档案型态的后门程式，去年11月中旬又出现另一个，名为Owl Proxy，这是假冒IIS安装程式的后门攻击。

相较于过往被揭露的无档案攻击行动，IIS-Share的手法可说是极为隐蔽。在许多事件中，资安人员可能就从内存的内容，找出躲藏其中运作的恶意程式，但此次攻击的处理程序，是注入在系统内建的应用程序当中，即使Dove Chiu将从内存截取出来的内容，经过一连串的复原工程，仍然无法直接找到后门工具的迹证，而是再加上从其他地方调查的结果，才汇整出整起攻击行动的样貌。

从网络连线轨迹难以侦测相关攻击，资安人员要搭配系统处理程序的检测工具

至于这种无档案型态的后门要如何发现？Tim Yeh指出，首先，必须了解骇客使用的手法。此种攻击是利用Windows内建的HTTP API来打造后门，而这个API微软自17年前的Windows XP SP2与Server 2003就开始提供，换言之，骇客滥用该API的时间可能远超乎研究人员的发现。再者，无论电脑是否启用IIS服务器，这个后门程式都有机会发动攻击。

由于使用HTTP API需要使用管理员权限，Tim Yeh说，骇客很可能会尝试取得相关权限，但若是得不到，他们也看到会将IIS服务器网域加入白名单的方式，来绕过必须取得管理者权限的限制。

要找寻网页型态的后门，一般来说，第一线鉴识人员很可能会先利用Windows内建工具，像是探测网络连线的Netsh来进行检查。但Tim Yeh表示，对于他们此次发现的无档案型态后门而言，若是透过Netsh很可能会被骇客绕过，导致资安人员找不到任何证据，因此，他们也使用其他工具辅助，来找出程式码注入（Code Injection）等较为隐密的攻击行为。