Notícias de dispositivos móveis, gadgets, aplicativos Android

Atacantes usam extens√Ķes IIS maliciosas para implantar backdoors secretos em servidores Exchange

Ao contr√°rio dos web shells, as extens√Ķes maliciosas para o servidor web IIS t√™m uma taxa de detec√ß√£o mais baixa, o que significa que os invasores as usam cada vez mais para fazer backdoors em servidores Exchange sem patch.

Uma vez que eles podem estar ocultos em um servidor comprometido e geralmente são muito difíceis de detectar. Como são instalados no mesmo local que os módulos legítimos e usam a mesma estrutura, os invasores podem fornecer o mecanismo de persistência perfeito e durável de que precisam.

Uma vez que utilizam a mesma estrutura dos módulos legítimos para obter o mesmo efeito dos módulos legítimos. O mecanismo real usado para criar um backdoor é geralmente mínimo e a lógica não é considerada maliciosa na maioria dos casos.

Acesso contínuo e capacidade integrada

√Č raro que os invasores usem falhas de seguran√ßa n√£o corrigidas em um aplicativo hospedado para injetar tais extens√Ķes maliciosas em um servidor ap√≥s compromet√™-lo com sucesso.

Esses tipos de ataques geralmente são implantados após a implantação da carga inicial do ataque, geralmente um web shell. Posteriormente, o módulo IIS é implantado no servidor comprometido para que possa ser acessado de forma mais furtiva e persistente.

Anteriormente, a Microsoft experimentou a instalação de backdoors personalizados do IIS depois que hackers exploraram os seguintes produtos:-

  • ZOHO ManageEngine ADSelfService Plus
  • SolarWinds Orion

Há várias coisas que podem ser coletadas por módulos maliciosos do IIS depois de implantados, e aqui estão listadas abaixo:-

  • Da mem√≥ria do sistema, as credenciais s√£o recuperadas
  • Coleta de dados de dispositivos infectados e da rede das v√≠timas
  • As cargas √ļteis s√£o entregues a uma taxa mais alta

Tipos de backdoors do IIS

Abaixo mencionamos todos os tipos de backdoors do IIS: –

  • Variantes baseadas em web shell
  • Variantes de c√≥digo aberto
  • Manipuladores IIS
  • Ladr√Ķes de credenciais
N√≥s recomendamos:  Gmail para Android e iOS adicionam indicador conveniente de ‚ÄėArmazenamento usado‚Äô

Como resultado da an√°lise recente da Kaspersky sobre extens√Ķes IIS entregues em servidores Microsoft Exchange, foi observado que o malware executa as seguintes a√ß√Ķes:-

  • Executar comandos
  • Roubar credenciais remotamente

Foi pelo menos desde março de 2021 que um malware semelhante do IIS foi detectado à solta, e esse malware é conhecido como SessionManager.

Recomenda√ß√Ķes

√Č recomend√°vel que voc√™ considere as seguintes mitiga√ß√Ķes para proteger seu sistema contra ataques que usam m√≥dulos maliciosos do IIS:-

  • Certifique-se de manter os servidores Exchange atualizados
  • √Č importante manter as solu√ß√Ķes antimalware e de seguran√ßa sempre ativadas
  • Certifique-se de que as fun√ß√Ķes e grupos sens√≠veis sejam revisados
  • Os diret√≥rios virtuais do IIS podem ser restritos para evitar acesso n√£o autorizado
  • Os alertas devem ser priorizados com base na sua import√Ęncia
  • Certifique-se de que os arquivos de configura√ß√£o e as pastas bin estejam em ordem

Table of Contents