據(jù)Bleeping Computer網(wǎng)站7月26日消息����,微軟 365 Defender 研究團(tuán)隊(duì)在當(dāng)天公布的一項(xiàng)研究調(diào)查中表示�,攻擊者正越來越多地使用惡意 Internet 信息服務(wù) (IIS) Web 服務(wù)器擴(kuò)展,對(duì)未打補(bǔ)丁的 Exchange 服務(wù)器部署后門。
與Web Shell相比�,利用IIS 擴(kuò)展能讓后門更加隱蔽��,通常很難檢測(cè)到其安裝的確切位置���,并且使用與合法模塊相同的結(jié)構(gòu)�����,為攻擊者提供了近乎完美的持久性機(jī)制���。
根據(jù)微軟 365 Defender 研究團(tuán)隊(duì)的說法,在大多數(shù)情況下檢測(cè)到的實(shí)際后門邏輯很少�,如果不更廣泛地了解合法 IIS 擴(kuò)展的工作原理,就不能將其視為惡意進(jìn)程�����,這也使得確定感染源變得更加困難��。
對(duì)受感染服務(wù)器的持續(xù)訪問
在利用托管應(yīng)用程序中各種未修補(bǔ)的安全漏洞攻擊服務(wù)器后��,攻擊者通常會(huì)在 Web Shell中 先部署一個(gè)有效負(fù)載�����,并在隨后部署 IIS 模塊以提供對(duì)被黑服務(wù)器更隱蔽和持久的訪問。微軟之前曾注意到攻擊者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定義 IIS 后門�。隨后,惡意 IIS 模塊允許攻擊者從系統(tǒng)內(nèi)存中獲取憑證���,從受害者的網(wǎng)絡(luò)和受感染設(shè)備收集信息�����,并提供更多有效負(fù)載�。
在今年1月至5月期間針對(duì) Microsoft Exchange 服務(wù)器的活動(dòng)中����,微軟注意到攻擊者在文件夾 C:\inetpub\wwwroot\bin\ 中安裝了一個(gè)名為 FinanceSvcModel.dll 的自定義 IIS 后門,以此來訪問受害者的電子郵件郵箱��、遠(yuǎn)程運(yùn)行命令并竊取憑證和機(jī)密數(shù)據(jù)�。
此外,卡巴斯基也曾注意到了類似的情況��,去年 12 月�����,一個(gè)名為Owowa的惡意 IIS Web 服務(wù)器模塊被用于針對(duì)東南亞和歐洲的政府組織和公共交通公司�?ò退够(dāng)時(shí)表示,一旦進(jìn)入受害者的系統(tǒng)�,攻擊者就可以訪問公司電子郵件,通過安裝其他類型的惡意軟件���,秘密管理受感染的服務(wù)器來實(shí)施更進(jìn)一步的惡意訪問,并將這些服務(wù)器用作惡意基礎(chǔ)設(shè)施����。
為防御使用惡意 IIS 模塊的攻擊,微軟建議用戶保持 Exchange 服務(wù)器處于最新狀態(tài)�����,在保持反惡意軟件等防護(hù)程序開啟的同時(shí)����,檢查敏感角色和組,限制對(duì) IIS 虛擬目錄的訪問����,確定告警的優(yōu)先級(jí)并檢查配置文件和 bin 文件夾。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
