Microsoft, sunuculara gizli arka kapılar oluşturmak ve hedef ağlarda kalıcılığı sürdürmek için İnternet Bilgi Hizmetleri (IIS) uzantılarını giderek daha fazla kötüye kullanan tehdit aktörleri konusunda uyarıyor.

IIS arka kapıları da meşru ve zararsız modüllerle aynı kod yapısını izledikleri için tespit etmek zordur.

"Sunuculara yönelik saldırılarda kötü amaçlı IIS uzantılarıyla daha az karşılaşılır, saldırganlar genellikle ilk aşama yükü olarak yalnızca komut dosyası web kabuklarını kullanır. Bu, komut dosyası web kabuklarına kıyasla kötü amaçlı IIS uzantıları için nispeten daha düşük bir algılama oranına yol açar.” Microsoft tarafından yayınlanan danışma belgesini okur. “IIS arka kapıları, hedef uygulamalar tarafından kullanılan meşru modüllerle çoğunlukla aynı dizinlerde bulunduğundan ve temiz modüllerle aynı kod yapısını takip ettiğinden, tespit edilmesi de daha zordur. Çoğu durumda, gerçek arka kapı mantığı minimum düzeydedir ve meşru IIS uzantılarının nasıl çalıştığına dair daha geniş bir anlayış olmadan kötü niyetli olarak kabul edilemez, bu da enfeksiyonun kaynağını belirlemeyi zorlaştırır.”

Saldırganlar, ilk erişim elde etmek ve saldırı zincirinin ilk aşaması olarak bir komut dosyası web kabuğu bırakmak için genellikle barındırılan uygulamadaki kritik bir güvenlik açığından yararlanır. Ardından web kabuğu, sunucuya keşfedilmesi zor olan kalıcı erişim sağlayan sahte bir IIS modülü kurmak için kullanılır. Kabuk ayrıca gelen ve giden istekleri izler ve uzaktaki saldırganlar tarafından gönderilen komutları çalıştırır, ayrıca kullanıcı web uygulamasında kimlik doğrulaması yaparken saldırganların arka planda kimlik bilgilerini boşaltmasına olanak tanır.

Temmuz ayının başlarında, Kaspersky Lab araştırmacıları, Mart 2021'den bu yana Microsoft IIS Sunucularını hedef alan saldırılarda kullanılan yeni bir "SessionManager" Arka Kapısı keşfettiler.

SessionManager C++ ile yazılmıştır, sunucuya sürekli olarak gönderilen meşru HTTP isteklerini işlemek için bazı IIS uygulamaları tarafından yüklenen kötü niyetli bir yerel kod IIS modülüdür.

Saldırganlar, SessionManager'ı başlatmak için Exchange Server'daki ProxyLogon güvenlik açıklarını araştırıyorlardı.

Microsoft araştırmacıları, Ocak ve Mayıs 2022 arasında gerçekleşen bir kampanyayı da detaylandırdı; tehdit aktörleri, nihayetinde “FinanceSvcModel.dll” adlı bir arka kapı dağıtmak için ProxyShell kusurlarından yararlanan Exchange sunucularını hedef aldı.

“Bir süre keşif yaptıktan, kimlik bilgilerini boşalttıktan ve bir uzaktan erişim yöntemi kurduktan sonra, saldırganlar C:\inetpub\wwwroot\bin\ klasörüne FinanceSvcModel.dll adlı özel bir IIS arka kapısı yükledi. Arka kapı, kurulu posta kutusu hesaplarını numaralandırma ve posta kutularını aşağıda ayrıntılı olarak açıklandığı gibi sızdırma için dışa aktarma gibi Exchange yönetim işlemlerini gerçekleştirmek için yerleşik bir yeteneğe sahipti. analizine devam eder.

Microsoft, geçtiğimiz yıl boyunca gözlemlenen kötü amaçlı IIS uzantılarını aşağıdaki kategorilerde gruplandırdı:

Web kabuğu tabanlı varyantlar;
Açık kaynak varyantları;
IIS işleyicileri;
Kimlik hırsızları;

ISS arka kapı saldırılarını azaltmak için uzmanlar şunları öneriyor:

özellikle sunucu bileşenleri için en son güvenlik güncellemelerini yükleyin;
antivirüs ve diğer güvenlik korumalarını etkinleştirin;
hassas rolleri ve grupları gözden geçirin;
en az ayrıcalık ilkesini uygulayarak erişimi kısıtlamak;
uyarılara öncelik verin;
yapılandırma dosyasını ve bin klasörünü inceleyin;