保姆级教程：在IIS+ASP.NET环境下，从零搭建与检测Filter型内存马（附检测脚本）

企业级防御指南：IIS+ASP.NET环境下Filter型内存马检测与处置

深夜的告警短信突然亮起屏幕——某业务系统出现异常401响应。作为安全运维负责人，这种非业务时段的异常状态码往往预示着更严重的安全事件。本文将从真实攻防对抗场景出发，系统讲解如何识别和处置ASP.NET环境下的Filter型内存马攻击。

1. 内存马攻击的防御视角认知

当服务器出现异常401/403状态码时，多数管理员第一反应是检查权限配置。但近年来，攻击者更倾向于利用这类"正常"状态码作为掩护，通过内存马实现持久化控制。与传统webshell不同，内存马不会在磁盘留下文件痕迹，这使得依赖文件扫描的D盾等防护工具难以检测。

内存马的核心特征：

• 无文件落地：恶意代码驻留在应用内存中
• 动态注册：通过GlobalFilters等机制注入过滤逻辑
• 协议伪装：常伪装成正常MVC请求响应
• 权限维持：绕过常规身份验证机制

典型案例：攻击者利用漏洞上传临时文件注入内存马后，立即删除物理文件，仅通过特定参数触发恶意逻辑。

2. IIS+ASP.NET环境检测方法论

2.1 异常行为特征分析

通过日志分析可发现以下可疑迹象：

2.2 运行时内存检测技术

通过PowerShell获取当前应用域中的Filter实例：

# 获取当前应用程序域所有程序集 [AppDomain]::CurrentDomain.GetAssemblies() | ForEach-Object { $_.GetTypes() | Where-Object { [System.Web.Mvc.IAuthorizationFilter].IsAssignableFrom($_) } }

关键检测点：

• 检查GlobalFilters集合中的未签名组件
• 监控AuthorizationContext的异常处理逻辑
• 识别非业务路径的请求拦截行为

2.3 自动化检测脚本实现

以下C#代码可检测异常Filter注册：

using System.Web.Mvc; public class FilterAuditor { public static void CheckGlobalFilters() { var filters = GlobalFilters.Filters; foreach (var filter in filters) { var type = filter.Instance.GetType(); // 检查未签名的程序集 if (type.Assembly.GetName().GetPublicKey().Length == 0) { LogSecurityEvent($"发现未签名的Filter注册: {type.FullName}"); } // 检查动态生成的类型 if (type.Assembly.IsDynamic) { LogSecurityEvent($"发现动态程序集Filter: {type.FullName}"); } } } }

3. 防御体系建设实战方案

3.1 基础防护配置

IIS加固建议：

1. 禁用不必要的HTTP方法

   <system.webServer> <security> <requestFiltering> <verbs> <add verb="OPTIONS" allowed="false"/> <add verb="TRACE" allowed="false"/> </verbs> </requestFiltering> </security> </system.webServer>

2. 限制.config文件处理

   <handlers> <remove name="ExtensionlessUrlHandler-Integrated-4.0"/> <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="GET,HEAD,POST,DEBUG" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0"/> </handlers>

3.2 高级监控策略

实施三层检测机制：

1. 流量层：监控异常参数和响应模式
2. 应用层：Hook关键API调用（如GlobalFilters.Add）
3. 系统层：检测非托管代码注入行为

推荐部署架构：

流量传感器 → 行为分析引擎 → 威胁情报平台 ↑ ↑ ↑ WAF日志 应用程序日志 系统调用监控

4. 应急响应操作手册

4.1 内存马清除步骤

1. 定位恶意Filter：

   var maliciousFilter = GlobalFilters.Filters .FirstOrDefault(f => f.Instance.GetType().Name == "MyAuthFilter");

2. 移除恶意注册：

   GlobalFilters.Filters.Remove(maliciousFilter);

3. 回收应用程序池：

   appcmd recycle apppool /apppool.name:DefaultAppPool

4.2 溯源调查要点

1. 检查临时目录中的可疑.aspx文件
2. 分析近期的文件上传日志
3. 审查web.config修改记录
4. 提取内存转储分析异常类型

在一次实际事件处置中，我们发现攻击者通过Server.Execute方式加载的内存马，会在IIS进程内存中留下特殊的类型加载痕迹。使用WinDbg分析内存转储时，可重点关注突然出现的动态程序集。

5. 防御体系持续优化

建立长效防护机制需要多维度措施：

技术控制：

• 启用程序集强名称验证
• 部署运行时应用自我保护(RASP)
• 实现Filter注册白名单机制

管理流程：

• 每周执行一次内存马专项检测
• 对开发环境进行安全构建检查
• 建立Filter组件登记备案制度

在最近一次红蓝对抗中，我们通过监控GlobalFilters的变更事件，成功阻断了多起内存马注入尝试。实际经验表明，结合静态规则和动态行为分析的防御策略最为有效。