t1505-004-iis-components

# T1505.004 - IIS Components ## Técnica Pai [[t1505-server-software-component|T1505 - Server Software Component]] ## Descrição **IIS Components** é uma sub-técnica de [[t1505-server-software-component|T1505 - Server Software Component]] na qual adversários instalam componentes maliciosos no Internet Information Services (IIS) da Microsoft para estabelecer persistência em servidores web Windows. A técnica é particularmente perigosa porque os componentes instalados operam com as mesmas permissões e acesso irrestrito ao tráfego HTTP que os módulos legítimos do IIS, integrando-se de forma práticamente invisível à infraestrutura do servidor. O IIS oferece três mecanismos principais passíveis de abuso: **extensões ISAPI**, **filtros ISAPI** e **módulos IIS nativos ou gerenciados** - todos implementados como DLLs carregadas diretamente no processo do servidor web. Uma vez registrados, esses componentes são iniciados automaticamente com o serviço IIS, sobrevivem a reboots do servidor e processam requisições HTTP com autoridade equivalente à do próprio servidor. A técnica é frequentemente empregada após a exploração bem-sucedida de uma vulnerabilidade em um serviço voltado à internet - como servidores Exchange, SharePoint ou aplicações web customizadas - permitindo ao adversário transitar de um acesso inicial oportunístico para uma presença persistente e de longo prazo no ambiente comprometido. Por operar dentro do processo legítimo do IIS (`w3wp.exe`), o componente malicioso mescla suas atividades ao tráfego web normal, reduzindo drasticamente a visibilidade para ferramentas de segurança convencionais. ## Como Funciona Componentes IIS maliciosos são DLLs registradas no servidor que passam a interceptar ou processar requisições HTTP antes, durante ou após seu tratamento pelo IIS. O mecanismo de interceptação varia de acordo com o tipo de componente: - **Filtros ISAPI**: inserem-se no pipeline de processamento de todas as requisições recebidas, com acesso aos cabeçalhos, corpo e metadados de cada transação HTTP antes que a aplicação os processe - **Extensões ISAPI**: mapeadas a extensões de arquivo específicas (ex: `.dll`), são invocadas pelo IIS quando uma requisição corresponde ao mapeamento registrado - **Módulos IIS nativos/gerenciados**: implementam a interface `IHttpModule` e podem registrar handlers para qualquer evento do pipeline HTTP, oferecendo o controle mais granular e furtivo dentre as três opções ### Tipos de Componentes Abusados | Componente | Mecanismo | Funções Exportadas | |-----------|-----------|-------------------| | Extensão ISAPI | DLL invocada por mapeamento de URL | `GetExtensionVersion`, `HttpExtensionProc`, `TerminateExtension` | | Filtro ISAPI | DLL que processa todas as requisições | `GetFilterVersion`, `HttpFilterProc`, `TerminateFilter` | | Módulo IIS gerenciado (.NET) | Interface com pipeline ASP.NET | `RegisterModule` via `IHttpModule` | | Módulo IIS nativo (C++) | DLL com acesso HTTP de baixo nível | `RegisterModule` via `IHttpModuleFactory` | ## Attack Flow ```mermaid graph TB A[Exploração inicial - T1190] --> B[Acesso ao servidor IIS] B --> C{Método de implantação} C -->|Upload de DLL maliciosa| D[DLL gravada em diretório do IIS] C -->|Substituição de módulo legítimo| E[Módulo existente comprometido] D --> F[Registro via appcmd ou registro manual] E --> F F --> G[Reinício do serviço IIS] G --> H[Componente carregado no processo w3wp.exe] H --> I{Capacidades ativadas} I -->|Interceptação| J[Captura credenciais e cookies de sessão] I -->|Backdoor| K[Processa comandos em requisições especiais] I -->|Proxy C2| L[Retransmite tráfego de comando e controle] I -->|Modificação| M[Altera respostas HTTP para outros alvos] J --> N[Persistência de longo prazo no servidor] K --> N L --> N M --> N ``` ## Exemplos de Uso **HAFNIUM**, grupo de espionagem chinês responsável pela exploração em massa de vulnerabilidades no Microsoft Exchange em 2021, utilizou componentes IIS como mecanismo de persistência pós-exploração. Após obter acesso inicial via [[t1190-exploit-public-facing-application|T1190]] em servidores Exchange, o grupo instalou web shells e módulos IIS maliciosos que permitiam acesso persistente independente de patches subsequentes aplicados às vulnerabilidades originais. **APT34 (OilRig)**, grupo iraniano com histórico de operações contra infraestrutura crítica e setores financeiros no Oriente Médio e globalmente, empregou o backdoor **[[s0258-rgdoor|RGDoor]]** - uma extensão ISAPI maliciosa instalada em servidores IIS. O RGDoor processa requisições HTTP especialmente formatadas como comandos, permitindo upload/download de arquivos e execução de código no servidor sem deixar rastros evidentes nos logs de aplicação. O framework **[[s1022-iceapple|IceApple]]**, atribuído a grupos de espionagem com foco em alvos governamentais e de telecomúnicações, representa o estado da arte nessa categoria. Implementado como módulo IIS gerenciado (.NET), oferece mais de 18 módulos funcionais para diferentes fases do ataque: coleta de credenciais, reconhecimento de rede, movimentação lateral e exfiltração - tudo processado dentro do pipeline HTTP legítimo do servidor. O **[[s0072-owaauth|OwaAuth]]**, uma DLL maliciosa instalada como módulo de autenticação em servidores Exchange com OWA (Outlook Web Access), captura silenciosamente as credenciais de todos os usuários que fazem login no webmail corporativo, armazenando-as em arquivo criptografado no servidor. ## Detecção ```yaml title: Detecção de Módulo ou Filtro IIS Não Autorizado status: experimental logsource: category: registry_event product: windows detection: selection_filter_dll: EventType: SetValue TargetObject|contains: - 'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Filter DLLs' - 'SYSTEM\CurrentControlSet\Services\IISADMIN\Parameters\Filter DLLs' selection_module_registry: EventType: SetValue TargetObject|contains: '\IIS\Parameters\ManagedModules' filter_known_good: Details|contains: - 'C:\Windows\System32\inetsrv\' - 'C:\Windows\Microsoft.NET\Framework' condition: (selection_filter_dll or selection_module_registry) and not filter_known_good level: high tags: - attack.persistence - attack.t1505 - attack.t1505.004 ``` Indicadores de comprometimento adicionais: - DLL registrada no IIS sem correspondência em inventário de software aprovado (`appcmd list module`) - Processo `w3wp.exe` realizando conexões de rede de saída para IPs externos incomuns - Criação de arquivos DLL em diretórios do IIS por processos que não sejam instaladores legítimos - Respostas HTTP com campos ou cabeçalhos incomuns detectados por inspeção de tráfego - `w3wp.exe` gerando processos filhos como `cmd.exe`, `powershell.exe` ou ferramentas de rede ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir ao mínimo as contas com permissão de instalar, modificar ou registrar módulos e filtros IIS; auditar privilégios de conta de serviço do IIS | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Aplicar allowlist de DLLs autorizadas a serem carregadas pelo processo IIS; usar Windows Defender Application Control (WDAC) para restringir DLLs de terceiros | | M1047 | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente módulos e filtros registrados no IIS via `appcmd list module /xml` e comparar com baseline aprovado; alertar em qualquer adição não planejada | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir assinatura de código válida e verificável para todas as DLLs carregadas pelo IIS; rejeitar módulos não assinados via política de segurança do servidor | ## Contexto Brasil/LATAM Servidores IIS são amplamente utilizados em ambientes corporativos e governamentais brasileiros, especialmente em organizações que operam aplicações Microsoft - Exchange, SharePoint, aplicações ASP.NET legadas - em infraestrutura Windows on-premises. Esse perfil de infraestrutura é comum em órgãos públicos federais e estaduais, bancos e instituições financeiras, e grandes corporações dos setores de energia e telecomúnicações. A relevância da técnica para o Brasil é reforçada pela exposição histórica do país a grupos de espionagem com motivação geopolítica e econômica. Organizações governamentais brasileiras foram alvos documentados de campanhas de grupos como [[g0125-silk-typhoon|HAFNIUM]] durante a onda de exploração do Exchange em 2021 - e a instalação de componentes IIS persistentes nessas operações significa que muitos sistemas comprometidos naquele período podem ainda conter backdoors ativos. Para equipes de segurança em organizações que operam servidores IIS, a prioridade deve ser o inventário e baseline de todos os módulos carregados, seguido de monitoramento contínuo de alterações no registro e no sistema de arquivos dos diretórios IIS. A integração dessas detecções com um SIEM e a correlação com alertas de conexões de saída do processo `w3wp.exe` são etapas essenciais para identificar comprometimentos via essa sub-técnica. ## Referências - [[t1505-server-software-component|T1505 - Server Software Component]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[g0049-oilrig|APT34]] - [[g0125-silk-typhoon|HAFNIUM]] - [[s0258-rgdoor|RGDoor]] - [[s1022-iceapple|IceApple]] - [[s0072-owaauth|OwaAuth]] - [[m1047-audit|M1047 - Audit]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[m1045-code-signing|M1045 - Code Signing]] *Fonte: MITRE ATT&CK - T1505.004, versão 16.2*