الجمعة 26 يونيو 2026 09:50:17 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
البرمجيات الخبيثة والروبوتات

مختبئ في وضح النهار: كيف يحوّل BadIIS خوادم IIS إلى عقد للتحكم في حركة المرور

21 مايو 2026 13:39البرمجيات الخبيثة والروبوتاتأمريكا الشمالية / الولايات المتحدة الأمريكيةIRONQUERY

يمكن لمكوّن IIS خبيث أن يستقر داخل مسار طلبات خادم الويب، ويعيد توجيه حركة مرور محددة بينما يبدو الموقع طبيعياً لمعظم الزوار.

من المفترض أن تقدّم خوادم الويب الثقة. في هذه الحالة، تصبح تلك الثقة هي الهدف. ترتبط عائلة برمجيات BadIIS الخبيثة بإساءة استخدام خوادم Microsoft IIS لإعادة توجيه حركة المرور، وهي تكتيك مهم لأنه يحوّل البنية التحتية الشرعية إلى جزء من سطح الهجوم. وقد لوحظ النشاط المُبلّغ عنه بشكل أساسي في منطقة آسيا والمحيط الهادئ، مع رصد ضحايا إضافيين في أمريكا الشمالية وأوروبا وجنوب أفريقيا.

حقائق سريعة

  • يرتبط BadIIS بإعادة توجيه حركة المرور الخبيثة على خوادم Microsoft IIS.
  • ظهر الضحايا المرصودون بشكل أساسي في منطقة آسيا والمحيط الهادئ، مع حالات إضافية في أمريكا الشمالية وأوروبا وجنوب أفريقيا.
  • يحتوي كود البرمجية الخبيثة على سلاسل "demo.pdb" مخفية، وهي دلالة مفيدة لتجميع عينات المحللين.
  • يمكن لمكوّنات IIS الخبيثة أن تعمل داخل مسار معالجة الطلبات الخاص بخادم الويب.
  • قد تجعل إعادة التوجيه الانتقائية الخادم المخترق يبدو طبيعياً لدى كثير من المستخدمين.

ما الذي يجعل اختراق IIS مختلفاً

على عكس حصان طروادة تقليدي على الطرفية، يعيش مكوّن IIS خبيث قريباً من طبقة الويب. صُمّم IIS لتحميل الوحدات داخل خط معالجة الطلبات الخاص به، ما يعني أن الكود العدائي يمكنه فحص الطلبات أو تعديل الاستجابات أو تمرير الحركة بطرق قد يصعب اكتشافها من الخارج. هذا لا يعني تلقائياً أن كل مضيف مصاب يتصرف بالطريقة نفسها، لكنه يفسر لماذا يظل إساءة الاستخدام من جانب الخادم مستمرة وصعبة الفرز.

من منظور دفاعي، تتمثل النقطة المهمة في السلوك الانتقائي. فقد يعيد خادم ويب مخترق توجيه طلبات معينة فقط، أو مناطق محددة، أو برامج زحف معينة، بينما يقدّم المحتوى العادي للجميع الآخرين. وهذا يجعل فحوصات الجاهزية الأساسية وسيلة كشف ضعيفة. كما يعني ذلك أن هدف البرمجية الخبيثة قد يكون أوسع من مجرد الإرباك: فقد يدعم تشكيل حركة المرور الاحتيال، أو تحقيق الدخل الخفي، أو التحكم السري في زوار الويب، بحسب أهداف المشغّل.

كما تستحق سلاسل "demo.pdb" المخفية الانتباه. فمخرجات PDB ليست دليلاً على التأليف، لكنها قد تساعد المحللين في تجميع العينات ذات الصلة والبحث عن أنماط تطوير مشتركة. والاستنتاج الأكثر أماناً ليس أن جهة واحدة مؤكدة، بل أن عائلة البرمجية الخبيثة تترك وراءها علامات تقنية متكررة يمكن للمدافعين استخدامها أثناء الصيد.

حتى وقت كتابة هذا التقرير، لا تحدد المعلومات العامة بشكل كامل النطاق الكامل للأنظمة المتأثرة، أو المشغّل الدقيق وراء الحملة، أو ما إذا كان كل مضيف مُلاحظ قد استُخدم بالطريقة نفسها. فالأدلة المتاحة تدعم تحليلاً للمخاطر، لا قصة إسناد نهائية.

بالنسبة للمدافعين، الاستجابة العملية مباشرة: جرد وحدات IIS، ومقارنتها بمرجع أساسي معروف السليمة، ومراجعة التغييرات في إعدادات الخادم، وفحص أدلة الويب بحثاً عن ملفات DLL غير متوقعة أو سلوك تحميل غير معتاد. إذا كان الموقع يتصرف بشكل مختلف للبرامج الآلية مقارنة بالمستخدمين العاديين، أو إذا ظهرت عمليات إعادة توجيه فقط في ظروف معينة، فهذه إشارة إلى ضرورة التعمق أكثر.

الخلاصة

يذكّرنا BadIIS بأن أخطر الاختراقات ليست دائماً الأعلى ضجيجاً. فعندما يصل المهاجم إلى طبقة خادم الويب، يمكن إعادة توظيف البنية التحتية التي يثق بها المستخدمون لتقديم المحتوى والتحكم في ما يرونه. والدرس الأوسع بسيط: ينبغي لفرق الأمن أن تتعامل مع وحدات الخادم وملفات الإعدادات وسلوك مسار الطلبات باعتبارها خط دفاع أول، لا مجرد أعمال خلفية.

TECHCROOK

محرك نسخ احتياطي خارجي: إن الاحتفاظ بمحرك نسخ احتياطي غير متصل لملفات الموقع وإعدادات IIS والسجلات يمكن أن يجعل الاستعادة والمقارنة أسهل بعد تغييرات خادم مشبوهة. كما يساعد النسخ الاحتياطي المفصول في الحفاظ على نسخة نظيفة يصعب على البرمجيات الخبيثة أو الوصول غير المصرح به تعديلها.

Scheda Techcrook: External backup drive

WIKICROOK

  • وحدة IIS: مكوّن يوسّع Microsoft Internet Information Services ويشارك في معالجة طلبات الويب.
  • إعادة توجيه حركة المرور: إعادة توجيه طلب ويب إلى وجهة مختلفة، أحياناً دون أن يلاحظ المستخدم ذلك.
  • مسار معالجة الطلبات: تسلسل الخطوات على جانب الخادم المستخدم لاستقبال طلب HTTP وفحصه والرد عليه.
  • سلسلة PDB: علامة لرمز تصحيح يمكن أن تساعد المحللين في تجميع عينات البرمجيات الخبيثة أو تحديد أنماط بناء مشتركة.
  • مرجع أساسي للإعدادات: سجل معروف السليمة للملفات والوحدات والإعدادات يُستخدم لاكتشاف التغييرات غير المصرح بها على الخادم.
IRONQUERY
الكاتبIRONQUERY

البرمجيات الخبيثة والروبوتات