IIS模块后门

看到一篇2020年介绍IIS模块后门的文章，以及国外2018年抓APT抓到的IIS模块后门介绍文章。

这个看看我2001年这个的相关代码，这些方面真的领先不是一两年而是一二十年。其实我的溢出利用代码都会在内存里面还建立这么一个无文件的后门。

现在新版本的IIS接口变了罢了，老的ISAPI也还能用。

其实对于IIS的流量截获和控制回复内容，有更经典的的代码，改变了安全攻防圈。

还有人找出利用这个做数据转发的，把这个拿来和我的数据通道复用做比较，说比我的好，真的是不懂APT。

http://t.cn/AXPySL7g

如果我们通过模块功能可以读取HTTP请求的内容并控制HTTP回复的内容，完全可以利用模块功能实现对服务器的远程管理

IIS的模块以DLL的形式存在，加载后不会存在单独的进程

2018年，PaloAlto Unit42发现了APT34使用这种方式作为IIS后门，将其命名为RGDoor

本文将复现RGDoor的部分功能，着重介绍这种利用方法的检测和识别。