Σύμφωνα με τη Microsoft, οι κακόβουλοι παράγοντες χρησιμοποιούν όλο και πιο συχνά τις κακόβουλες επεκτάσεις διακομιστή ιστού των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) σε μη επιδιορθωμένους διακομιστές Exchange ως backdoor, καθώς έχουν χαμηλότερα ποσοστά ανίχνευσης σε σύγκριση με τα web shells.
Δείτε επίσης: Το νέο Linux malware Lightning Framework εγκαθιστά rootkits, backdoors
Επειδή είναι κρυμμένα βαθιά μέσα στους παραβιασμένους διακομιστές και συχνά είναι πολύ δύσκολο να εντοπιστούν, ενώ χρησιμοποιούν την ίδια δομή με τις νόμιμες μονάδες, παρέχουν στους εισβολείς έναν τέλειο και ανθεκτικό μηχανισμό επιμονής.
Οι φορείς απειλών σπάνια αναπτύσσουν τέτοιες κακόβουλες επεκτάσεις, αφού θέσουν σε κίνδυνο έναν διακομιστή χρησιμοποιώντας εκμεταλλεύσεις για διάφορα ελαττώματα ασφαλείας, που δεν έχουν επιδιορθωθεί σε μια φιλοξενούμενη εφαρμογή.
Συνήθως αναπτύσσονται μετά την ανάπτυξη ενός web shell ως το πρώτο ωφέλιμο φορτίο στην επίθεση. Η λειτουργική μονάδα IIS αναπτύσσεται αργότερα για να παρέχει πιο κρυφή και επίμονη πρόσβαση στον παραβιασμένο διακομιστή.
Η Microsoft ανακάλυψε παλιότερα την εγκατάσταση προσαρμοσμένων backdoors IIS μετά την εκμετάλλευση των τρωτών σημείων του ZOHO ManageEngine ADSelfService Plus και του SolarWinds Orion.
Δείτε ακόμα: Backdoors και ευπάθειες ανακαλύφθηκαν στα routers FiberHome
Μετά την ανάπτυξη, οι κακόβουλες μονάδες IIS επιτρέπουν στους παράγοντες απειλών να συλλέγουν διαπιστευτήρια από τη μνήμη του συστήματος, να συλλέγουν πληροφορίες από το δίκτυο των θυμάτων και τις μολυσμένες συσκευές και να παρέχουν περισσότερα ωφέλιμα φορτία.
Πιο πρόσφατα, σε μια καμπάνια μεταξύ Ιανουαρίου και Μαΐου 2022 που στόχευε διακομιστές Microsoft Exchange, οι εισβολείς ανέπτυξαν κακόβουλες επεκτάσεις IIS για να αποκτήσουν πρόσβαση στα email των θυμάτων, να εκτελέσουν εντολές από απόσταση και να κλέψουν διαπιστευτήρια και εμπιστευτικά δεδομένα.
“Μετά από μια περίοδο αναγνώρισης, απόρριψης διαπιστευτηρίων και καθιέρωσης μιας μεθόδου απομακρυσμένης πρόσβασης, οι εισβολείς εγκατέστησαν ένα προσαρμοσμένο backdoor IIS που ονομάζεται FinanceSvcModel.dll στο φάκελο C:\inetpub\wwwroot\bin\“, πρόσθεσε η Microsoft.
“Το backdoor είχε ενσωματωμένη δυνατότητα εκτέλεσης λειτουργιών διαχείρισης του Exchange, όπως απαρίθμηση εγκατεστημένων λογαριασμών γραμματοκιβωτίου και εξαγωγή γραμματοκιβωτίων.“
Δείτε επίσης: MoFi routers με backdoors θέτουν σε κίνδυνο τους χρήστες
Για να αμυνθούν από επιθέσεις που χρησιμοποιούν κακόβουλες μονάδες IIS, η Microsoft συμβουλεύει τους πελάτες να διατηρούν ενημερωμένους τους διακομιστές Exchange, να έχουν ενεργοποιημένες λύσεις κατά του κακόβουλου λογισμικού, να ελέγχουν ευαίσθητους ρόλους και ομάδες, να περιορίζουν την πρόσβαση σε εικονικούς καταλόγους IIS, να δίνουν προτεραιότητα στις ειδοποιήσεις και να επιθεωρούν τα αρχεία διαμόρφωσης και φακέλους bin.
