Microsoft, saldırganların, web kabuklarına kıyasla daha düşük algılama oranlarına sahip oldukları için, arka kapı takılmamış değişim sunucularına kötü niyetli İnternet Bilgi Hizmetleri (IIS) Web sunucusu uzantılarını giderek daha fazla kullandıklarını söylüyor.
Geri ihlal edilen sunucuların derinliklerinde gizli oldukları ve genellikle tam konuma monte edildiğini ve meşru modüllerle aynı yapıyı kullandığını tespit etmek çok zor olduğundan, saldırganlara mükemmel ve dayanıklı bir kalıcılık mekanizması sağlıyorlar.
Microsoft 365 savunucu araştırma ekibi Salı günü yaptığı açıklamada, "Çoğu durumda, gerçek arka kapı mantığı minimaldir ve meşru IIS uzantılarının nasıl çalıştığına dair daha geniş bir anlayış olmadan kötü niyetli olarak kabul edilemez, bu da enfeksiyon kaynağını belirlemeyi zorlaştırır." Dedi.
Tehdit aktörleri, barındırılan bir uygulamada çeşitli çeşitli güvenlik kusurları için istismarları kullanarak bir sunucudan ödün verdikten sonra bu tür kötü niyetli uzantıları nadiren dağıtırlar.
Genellikle bir web kabuğu saldırıdaki ilk yük olarak dağıtıldıktan sonra dağıtılırlar. IIS modülü daha sonra, hacklenen sunucuya daha gizli ve kalıcı (güncelleme dirençli) erişim sağlamak için dağıtılır.
Microsoft daha önce, tehdit aktörlerinin Zoho ManageenGine Adfservice Plus ve Solarwinds Orion güvenlik açıklarını kullandıktan sonra yüklenen özel IIS backdoors'u gördü.
Dağıtımdan sonra, kötü niyetli IIS modülleri, tehdit aktörlerinin sistem belleğinden kimlik bilgilerini toplamasına, mağdurların ağından ve enfekte cihazlardan bilgi toplamasına ve daha fazla yük sunmasına izin verir.
Daha yakın zamanlarda, Ocak ve Mayıs 2022 arasında Microsoft Exchange sunucularını hedefleyen bir kampanyada, saldırganlar mağdurların e -posta posta kutularına erişmek, komutları uzaktan çalıştırmak ve kimlik bilgilerini ve gizli verileri çalmak için kötü niyetli IIS uzantıları kullandılar.
Microsoft, "Keşif yaparken, kimlik bilgilerini boşaltma ve bir uzaktan erişim yöntemi oluşturma döneminden sonra, saldırganlar C: \ inetpub \ wwwroot \ bin \ klasörüne FinanSvcmodel.dll adlı özel bir IIS arka kapı yükledi."
"Arka kapı, yüklü posta kutusu hesaplarının numaralandırılması ve exfiltrasyon için posta kutularını dışa aktarma gibi değişim yönetimi işlemlerini gerçekleştirme özelliğine sahipti."
Kaspersky ayrıca, komutları yürütmek ve kimlik bilgilerini uzaktan çalmak için Microsoft Exchange sunucularına IIS uzantıları olarak teslim edilen kötü amaçlı yazılımları tespit etti.
Aralık ayında, Güneydoğu Asya ve Avrupa'daki hükümet kuruluşlarını ve toplu taşıma şirketlerini hedeflemek için OWOWA adlı kötü niyetli bir IIS web sunucusu modülü kullanıldı.
Avrupa, Orta Doğu, Asya ve Afrika'dan gelen hükümet ve askeri kuruluşlara yönelik saldırılarda en azından Mart 2021'den (geçen yılki büyük proxylogon saldırıları dalgasının başlangıcından hemen sonra) tespit edilmeden vahşi doğada kullanıldı. .
Kaspersky, "Mağdurun sistemine düştüğünde, arka kapının arkasındaki siber suçlular, şirket e -postalarına erişebilir, diğer kötü amaçlı yazılım türlerini kurarak veya kötü niyetli altyapı olarak kullanılabilen uzlaştırılmış sunucuları gizlice yöneterek daha fazla kötü niyetli erişimi güncelleyebilir." Dedi.
"IIS modülleri, özellikle web kabukları gibi tipik web uygulama tehditlerine kıyasla, arka kapılar için ortak bir biçim değildir ve bu nedenle standart dosya izleme çabaları sırasında kolayca kaçırılabilir."
Kötü niyetli IIS modüllerini kullanarak saldırılara karşı savunmak için Microsoft, müşterilere değişim sunucularını güncel tutmalarını, anti-kötü amaçlı ve güvenlik çözümlerini etkinleştirmelerini, hassas rolleri ve grupları gözden geçirmelerini, IIS sanal dizinlerine erişimi kısıtlamalarını, yapılandırmaları önceliklendirmesini ve yapılandırma dosyalarını incelemelerini tavsiye eder. ve çöp kutusu klasörleri.
Microsoft Exchange sunucuları dünya çapında yeni kötü amaçlı yazılımlarla geri yüklendi
Microsoft: Windows, Adobe Subzero kötü amaçlı yazılımları dağıtmak için kullanılan sıfır günler
Yeni 'Lightning Framework' Linux kötü amaçlı yazılım, rootkits, backroors yükler
Yeni CloudMensis Kötü Yazılım Backdroors Macs kurbanların verilerini çalmak için
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Kaynak: Bleeping Computer