Výskumníci spoločnosti ESET objavili skupinu 10 doposiaľ nezdokumentovaných rodín malvéru, ktoré sú implementované ako škodlivé rozšírenia pre softvér webového servera Internet Information Services (IIS). Táto rôznorodá skupina škodlivého kódu odpočúva a manipuluje s komunikáciou servera. Cielená je na vládne e-mailové schránky, transakcie kreditnými kartami na internetových obchodoch, ako aj na pomoc pri distribúcii malvéru. Podľa výskumu spoločnosti ESET sa v roku 2021 šírilo najmenej päť IIS backdoorov prostredníctvom zneužitia e-mailových serverov Microsoft Exchange.
Medzi obeťami sú vlády v juhovýchodnej Ázii a desiatky spoločností z rôznych priemyselných odvetví, ktoré sa nachádzajú najmä v Kanade, Vietname a Indii, ale aj v USA, na Novom Zélande, v Južnej Kórei a ďalších krajinách. Tieto zistenia pochádzajú zo štúdie výskumníkov spoločnosti ESET „Anatomy of native IIS malware“. Prvýkrát boli prezentované na prestížnej konferencií Black Hat USA 2021 a budú tiež súčasťou konferencie Virus Bulletin 2021, ktorá sa uskutoční 8. októbra 2021.
Obete natívnych IIS backdoorov šíriacich sa prostredníctvom Microsoft Exchange Server ProxyLogon zraniteľností
IIS malware je rôznorodá skupina hrozieb využívaných na kybernetickú kriminalitu, špionáž a SEO podvody. Vo všetkých prípadoch je však jeho hlavným cieľom zachytenie HTTP požiadaviek prichádzajúcich na kompromitovaný IIS server a ovplyvnenie jeho reakcií na niektoré požiadavky. „Na webové servery Internet Information Services sa zamerali rôzni škodliví aktéri orientovaní na kybernetickú kriminalitu a kybernetickú špionáž. Modulárna architektúra softvéru, navrhnutá tak, aby poskytovala rozšíriteľnosť webovým vývojárom, môže byť užitočným nástrojom pre útočníkov,“ hovorí výskumníčka spoločnosti ESET, Zuzana Hromcová, ktorá je aj autorkou publikovanej štúdie.
ESET identifikoval päť hlavných režimov IIS malvéru:
- IIS backdoory umožňujú ich operátorom na diaľku ovládať napadnutý počítač s nainštalovaným IIS.
- IIS infostealery umožňujú svojim operátorom zachytiť pravidelný prenos medzi napadnutým serverom a jeho legitímnymi návštevníkmi a ukradnúť napríklad prihlasovacie údaje či platobné informácie.
- IIS injektory upravujú HTTP reakcie odoslané legitímnym návštevníkom tak, aby slúžili škodlivému obsahu.
- IIS proxies robia z napadnutého servera bez vedomia používateľa súčasť príkazovej a riadiacej infraštruktúry pre inú rodinu škodlivých kódov.
- IIS malvér zameraný na SEO podvody upravuje obsah slúžiaci vyhľadávacím nástrojom tak, aby manipuloval so SERP algoritmami a zlepšoval hodnotenie iných webových stránok, ktoré zaujímajú útočníkov.
"Je stále dosť zriedkavé, aby sa bezpečnostný softvér používal aj na ochranu IIS serverov, čo útočníkom uľahčuje dlhodobé nepozorované fungovanie. To by malo byť znepokojujúce pre všetky seriózne webové portály, ktoré chcú chrániť dáta svojich návštevníkov vrátane informácií o autentifikácii a platbách. Pozor by si mali dať aj organizácie, ktoré používajú aplikáciu Outlook na webe, pretože závisí od IIS a mohla by byť zaujímavým cieľom špionáže,“ vysvetľuje Hromcová.
Mechanizmus fungovania IIS malvéru
Výskumníci spoločnosti ESET odporúčajú niekoľko opatrení, ktoré môžu pomôcť zmierniť útoky na IIS web server. Medzi ne patrí používanie jedinečných, silných hesiel a viacfaktorovej autentifikácie na administráciu IIS serverov, aktualizácia operačného systému, používanie brány firewall pre webovú aplikáciu či nasadenie endpoint bezpečnostného riešenia pre server. Riziko zníži aj pravidelná kontrola konfigurácie IIS servera s cieľom overiť, či sú všetky nainštalované rozšírenia legitímne.
Spolu so štúdiou „Anatomy of native IIS malware“ spoločnosť ESET publikovala kratšie blogové príspevky vychádzajúce z tohto výskumu:
- IIStealer: Hrozba transakcií elektronického obchodu na strane servera - článok, ktorý sa pozerá na škodlivé IIS rozšírenie (trójsky kôň), ktoré zachytáva transakcie servera s cieľom ukradnúť informácie o kreditnej karte.
- IISpy: Komplexný backdoor na serveri s anti-forenznými funkciami - príspevok o škodlivom IIS rozšírení (backdoor), ktoré je schopné zaistiť dlhodobú špionáž na napadnutých serveroch.
- IISerpent: SEO podvod ako služba riadená malvérom – článok popisujúci škodlivé rozšírenie (trojan na strane servera) používané na manipuláciu s hodnotením webových stránok tretích strán.
Viac technických informácií o IIS hrozbách nájdete v úvodnom blogu „Anatomy of native IIS malware“ alebo v rovnomennej štúdii.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.