Odposlechy vlád i útoky na platební transakce. ESET odhalil nové hrozby pro webový server IIS

26. 08. 2021

Praha, 26. srpna 2021 – Výzkumníci společnosti ESET objevili skupinu deseti nezdokumentovaných rodin malware, které jsou implementovány jako rozšíření pro software webového serveru Internet Information Services. Tento malware odposlouchává a manipuluje s komunikací serveru. Cílený je na vládní e-mailové schránky, transakce kreditními kartami na internetových obchodech, obsahuje také funkce pro další distribuci malwaru. Podle výzkumu společnosti ESET se v roce 2021 šířilo nejméně pět variant malware prostřednictvím zneužití e-mailových serverů Microsoft Exchange.

Internet Information Services (IIS) je webový server, který obsahuje moduly pro operační systém Windows od Microsoftu. Spolu se servery Apache a Nginx patří mezi nejpoužívanější webové servery na světě.

Mezi oběťmi útočníků jsou vlády v jihovýchodní Asii a desítky společností z různých průmyslových odvětví, které se nacházejí zejména v Kanadě, Vietnamu a Indii, ale i v USA, na Novém Zélandu, v Jižní Koreji a dalších zemích.

Oběti IIS backdoor šířících se prostřednictvím Microsoft Exchange Server zranitelností ProxyLogon

IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody (neboli podvody s výsledky vyhledávání v prohlížečích). Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé požadavky.

„Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky,“ říká výzkumnice společnosti ESET, Zuzana Hromcová, která je i autorkou publikované studie.

ESET identifikoval pět hlavních režimů IIS malwaru:

IIS backdoory, které umožňují operátorům ovládat napadený počítač s nainstalovaným IIS na dálku.
IIS infostealery, které umožňují operátorům zachytit pravidelný přenos mezi napadeným serverem a jeho legitimními návštěvníky a ukrást například přihlašovací údaje či platební informace.
IIS injektory, které upravují HTTP reakce odeslané legitimním návštěvníkům tak, aby sloužily útočníkům.
IIS proxies, které dělají z napadeného serveru bez vědomí uživatele součást příkazové a řídicí infrastruktury pro jinou rodinu škodlivých kódů.
IIS malware zaměřený na SEO (Search Engine Optimization, neboli optimalizace stránky pro vyhledávače) podvody, který upravuje obsah sloužící vyhledávači tak, aby manipuloval s řazením výsledků ve vyhledávacím algoritmu a zlepšoval hodnocení webových stránek útočníků.

„Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování. To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže,“ vysvětluje Hromcová.

Výzkumníci společnosti ESET doporučují několik opatření, které mohou pomoci zmírnit útoky na IIS server. Mezi ně patří používání jedinečných, silných hesel a vícefaktorová autentifikace na administraci serverů, aktualizace operačního systému, používání brány firewall pro webovou aplikaci či nasazení bezpečnostního řešení pro koncové stanice na server. Riziko sníží i pravidelná kontrola konfigurace IIS serveru s cílem ověřit, zda jsou všechny nainstalované rozšíření legitimní.

Více technických informací o IIS hrozbách naleznete ve studii „Anatomy of native IIS malware“ v magazínu WeLiveSecurity.com.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.