det0068-detection-strategy-for-t1505004-malicious-iis-components

# DET0068 — Detection Strategy for T1505.004 - Malicious IIS Components ## Descrição Componentes maliciosos do IIS (Internet Information Services) representam uma forma sofisticada de persistência em servidores Windows voltados à web. Adversários instalam módulos IIS nativos (`.dll`) como IHttpModule ou IHttpHandler para interceptar requisições HTTP, executar comandos remotamente (webshell via módulo nativo) ou exfiltrar dados sensíveis que passam pelo servidor. Diferentemente de webshells em ASPX/PHP, módulos IIS nativos são mais difíceis de detectar por scanners tradicionais pois residem no pipeline de processamento do servidor. Esta estratégia de detecção foca em eventos de modificação do arquivo de configuração do IIS (`applicationHost.config`), registro de novos módulos ou handlers via `appcmd.exe` ou APIs de administração, e criação de DLLs em diretórios do IIS por processos não esperados. A monitoração de integridade de arquivos nos diretórios `%windir%\System32\inetsrv\` e de módulos carregados pelo processo `w3wp.exe` é essencial. Grupos APT com foco em espionagem e acesso persistente a infraestrutura web — como [[g0096-apt41]] e grupos associados a campanhas de exploração de Exchange — utilizam módulos IIS maliciosos como implantes de longa duração que sobrevivem a atualizações de aplicações web e são invisíveis a varreduras de diretório. ## Indicadores de Detecção - Modificação de `%windir%\System32\inetsrv\config\applicationHost.config` por processo não administrativo - Registro de novo `globalModule`, `module` ou `handler` via `appcmd.exe` fora de janelas de manutenção - Criação de DLL em `%windir%\System32\inetsrv\` ou diretórios de aplicação IIS por processo não relacionado ao IIS - `w3wp.exe` carregando módulo não presente no inventário de baseline - Requisições HTTP com parâmetros de comando codificados respondidas por `w3wp.exe` com saída de processo incomum - Módulo IIS com assinatura digital inválida ou ausente carregado em runtime ## Técnicas Relacionadas - [[t1505004-server-software-component-iis-components|T1505.004 — IIS Components]] - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1505003-server-software-component-web-shell|T1505.003 — Web Shell]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] ## Analytics Relacionadas - [[an0184-analytic-0184|AN0184 — Analytic 0184]] --- *Fonte: [MITRE ATT&CK — DET0068](https://attack.mitre.org/detectionstrategies/DET0068)*