Tiện ích mở rộng IIS độc hại thu hút sự phổ biến trong số tội phạm mạng để truy cập liên tục

Tiện ích mở rộng IIS độc hại

Các tác nhân đe dọa đang ngày càng lạm dụng các tiện ích mở rộng Dịch vụ Thông tin Internet (IIS) cho các máy chủ cửa sau như một phương tiện thiết lập một “cơ chế bền bỉ lâu dài”.

Đó là theo một cảnh báo mới từ Nhóm nghiên cứu Microsoft 365 Defender, cho biết rằng “Cửa hậu IIS cũng khó bị phát hiện hơn vì chúng chủ yếu nằm trong cùng thư mục với các mô-đun hợp pháp được sử dụng bởi các ứng dụng mục tiêu và chúng tuân theo cùng một cấu trúc mã như sạch mô-đun. “

Các chuỗi tấn công sử dụng phương pháp này bắt đầu bằng việc vũ khí hóa một lỗ hổng nghiêm trọng trong ứng dụng được lưu trữ để truy cập ban đầu, sử dụng chỗ đứng này để thả một trình bao web tập lệnh làm trọng tải ở giai đoạn đầu tiên.

Sau đó, web shell này trở thành đường dẫn để cài đặt mô-đun IIS giả mạo nhằm cung cấp khả năng truy cập bí mật và liên tục vào máy chủ, ngoài việc các yêu cầu đến và đi cũng như chạy các lệnh từ xa.

Thật vậy, vào đầu tháng này, các nhà nghiên cứu của Kaspersky đã tiết lộ một chiến dịch do nhóm Gelsemium thực hiện, nhóm này đã bị phát hiện lợi dụng các lỗ hổng của ProxyLogon Exchange Server để khởi chạy một IIS có tên SessionManager.

Xem tiếp:   Bạn có đang đầu tư vào việc bảo mật dữ liệu của mình trên đám mây không?

Tiện ích mở rộng IIS độc hại

Trong một loạt các cuộc tấn công khác được quan sát bởi gã khổng lồ công nghệ từ tháng 1 đến tháng 5 năm 2022, các máy chủ Exchange đã được nhắm mục tiêu bằng web shell bằng cách khai thác các lỗ hổng , cuối cùng dẫn đến việc triển khai một cửa sau có tên “FinanceSvcModel.dll” nhưng không. trước một thời gian trinh sát.

Nhà nghiên cứu bảo mật Hardik Suri giải thích: “Cửa hậu có khả năng tích hợp để thực hiện các hoạt động quản lý Exchange, chẳng hạn như liệt kê các tài khoản hộp thư đã cài đặt và xuất hộp thư để lọc”, nhà nghiên cứu bảo mật Hardik Suri giải thích.

Để giảm thiểu các cuộc tấn công như vậy, bạn nên áp dụng các bản cập nhật bảo mật mới nhất cho các thành phần máy chủ càng sớm càng tốt, luôn bật tính năng chống vi-rút và các biện pháp bảo vệ khác, xem xét các vai trò và nhóm nhạy cảm và hạn chế quyền truy cập bằng cách thực hành nguyên tắc ít đặc quyền nhất và duy trì vệ sinh thông tin xác thực tốt .

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …