SAMSUNG_022024B Advertisement SAMSUNG_022024B Advertisement SAMSUNG_022024B Advertisement

Odpočúvanie vlád aj útoky na platobné transakcie. ESET odhalil nové hrozby webového servera IIS

Tlačové správy
0

Výskumníci spoločnosti ESET objavili skupinu 10 doposiaľ nezdokumentovaných rodín malvéru, ktoré sú implementované ako škodlivé rozšírenia pre softvér webového servera Internet Information Services (IIS). Táto rôznorodá skupina škodlivého kódu odpočúva a manipuluje s komunikáciou servera. Cielená je na vládne e-mailové schránky, transakcie kreditnými kartami na internetových obchodoch, ako aj na pomoc pri distribúcii malvéru. Podľa výskumu spoločnosti ESET sa v roku 2021 šírilo najmenej päť IIS backdoorov prostredníctvom zneužitia e-mailových serverov Microsoft Exchange.

Medzi obeťami sú vlády v juhovýchodnej Ázii a desiatky spoločností z rôznych priemyselných odvetví, ktoré sa nachádzajú najmä v Kanade, Vietname a Indii, ale aj v USA, na Novom Zélande, v Južnej Kórei a ďalších krajinách. Tieto zistenia pochádzajú zo štúdie výskumníkov spoločnosti ESET „Anatomy of native IIS malware“. Prvýkrát boli prezentované na prestížnej konferencií Black Hat USA 2021 a budú tiež súčasťou konferencie Virus Bulletin 2021, ktorá sa uskutoční 8. októbra 2021.

Obete natívnych IIS backdoorov šíriacich sa prostredníctvom Microsoft Exchange Server ProxyLogon zraniteľností

IIS malware je rôznorodá skupina hrozieb využívaných na kybernetickú kriminalitu, špionáž a SEO podvody. Vo všetkých prípadoch je však jeho hlavným cieľom zachytenie HTTP požiadaviek prichádzajúcich na kompromitovaný IIS server a ovplyvnenie jeho reakcií na niektoré požiadavky. „Na webové servery Internet Information Services sa zamerali rôzni škodliví aktéri orientovaní na kybernetickú kriminalitu a kybernetickú špionáž. Modulárna architektúra softvéru, navrhnutá tak, aby poskytovala rozšíriteľnosť webovým vývojárom, môže byť užitočným nástrojom pre útočníkov,“ hovorí výskumníčka spoločnosti ESET, Zuzana Hromcová, ktorá je aj autorkou publikovanej štúdie.

ESET identifikoval päť hlavných režimov IIS malvéru:

  • IIS backdoory umožňujú ich operátorom na diaľku ovládať napadnutý počítač s nainštalovaným IIS.
  • IIS infostealery umožňujú svojim operátorom zachytiť pravidelný prenos medzi napadnutým serverom a jeho legitímnymi návštevníkmi a ukradnúť napríklad prihlasovacie údaje či platobné informácie.
  • IIS injektory upravujú HTTP reakcie odoslané legitímnym návštevníkom tak, aby slúžili škodlivému obsahu.
  • IIS proxies robia z napadnutého servera bez vedomia používateľa súčasť príkazovej a riadiacej infraštruktúry pre inú rodinu škodlivých kódov.
  • IIS malvér zameraný na SEO podvody upravuje obsah slúžiaci vyhľadávacím nástrojom tak, aby manipuloval so SERP algoritmami a zlepšoval hodnotenie iných webových stránok, ktoré zaujímajú útočníkov.

"Je stále dosť zriedkavé, aby sa bezpečnostný softvér používal aj na ochranu IIS serverov, čo útočníkom uľahčuje dlhodobé nepozorované fungovanie. To by malo byť znepokojujúce pre všetky seriózne webové portály, ktoré chcú chrániť dáta svojich návštevníkov vrátane informácií o autentifikácii a platbách. Pozor by si mali dať aj organizácie, ktoré používajú aplikáciu Outlook na webe, pretože závisí od IIS a mohla by byť zaujímavým cieľom špionáže,“ vysvetľuje Hromcová.

Mechanizmus fungovania IIS malvéru

Výskumníci spoločnosti ESET odporúčajú niekoľko opatrení, ktoré môžu pomôcť zmierniť útoky na IIS web server. Medzi ne patrí používanie jedinečných, silných hesiel a viacfaktorovej autentifikácie na administráciu IIS serverov, aktualizácia operačného systému, používanie brány firewall pre webovú aplikáciu či nasadenie endpoint bezpečnostného riešenia pre server. Riziko zníži aj pravidelná kontrola konfigurácie IIS servera s cieľom overiť, či sú všetky nainštalované rozšírenia legitímne.

Spolu so štúdiou „Anatomy of native IIS malware“ bude spoločnosť ESET publikovať kratšie blogové príspevky vychádzajúce z tohto výskumu:

  • IIStealer: Hrozba transakcií elektronického obchodu na strane servera - článok, ktorý sa pozerá na škodlivé IIS rozšírenie (trójsky kôň), ktoré zachytáva transakcie servera s cieľom ukradnúť informácie o kreditnej karte.
  • IISpy: Komplexný backdoor na serveri s anti-forenznými funkciami (9. augusta, 11:30 SELČ) - príspevok o škodlivom IIS rozšírení (backdoor), ktoré je schopné zaistiť dlhodobú špionáž na napadnutých serveroch.
  • IISerpent: SEO podvod ako služba riadená malvérom (11. augusta, 11:30 SELČ) – článok popisujúci škodlivé rozšírenie (trojan na strane servera) používané na manipuláciu s hodnotením webových stránok tretích strán.

Viac technických informácií o IIS hrozbách nájdete v úvodnom blogu „Anatomy of native IIS malware“ alebo v rovnomennej štúdií.

 

Zobrazit Galériu

ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať