【安全资讯】攻击者将IIS扩展用作Exchange后门

攻击者越来越多地将 Internet 信息服务 (IIS) 扩展用作Exchange服务器的隐蔽后门，该后门可以提供对被黑服务器的高度隐蔽和持久的访问。在 2022 年 1 月至 2022 年 5 月期间，研究人员在与 IIS 相关的检测发现了一个针对 Microsoft Exchange 服务器的活动。经过一段时间的侦察、转储凭据和建立远程访问方法后，攻击者安装了一个名为FinanceSvcModel.dll的自定义IIS后门。后门具有执行 Exchange 管理操作的内置功能，例如枚举已安装的邮箱帐户和导出邮箱以进行渗透。