IIS malware

IIS malware odposlouchává a manipuluje s komunikací webového serveru Internet Information Services - cílený je na vládní e-mailové schránky, transakce kreditními kartami na internetových obchodech. Obsahuje také funkce pro další distribuci malwaru.

Výzkumníci ESETu objevili skupinu deseti nezdokumentovaných rodin malware, které jsou implementovány jako rozšíření pro software webového serveru Internet Information Services. V roce 2021 se šířilo nejméně pět variant malware prostřednictvím zneužití e-mailových serverů Microsoft Exchange.

"Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky. Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování. To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže," říká Zuzana Hromcová, výzkumnice společnosti ESET.

Internet Information Services (IIS) je webový server, který obsahuje moduly pro operační systém Windows od Microsoftu. Spolu se servery Apache a Nginx patří mezi nejpoužívanější webové servery na světě.

Mezi oběťmi útočníků jsou vlády v jihovýchodní Asii a desítky společností z různých průmyslových odvětví, které se nacházejí zejména v Kanadě, Vietnamu a Indii, ale i v USA, na Novém Zélandu, v Jižní Koreji a dalších zemích.

IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody s výsledky vyhledávání v prohlížečích.

Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé požadavky.

ESET identifikoval pět hlavních režimů IIS malwaru:

• IIS malware zaměřený na SEO - upravuje obsah sloužící vyhledávači tak, aby manipuloval s řazením výsledků ve vyhledávacím algoritmu a zlepšoval hodnocení webových stránek útočníků

• IIS infostealery - umožňují operátorům zachytit pravidelný přenos mezi napadeným serverem a jeho legitimními návštěvníky a ukrást např. přihlašovací údaje či platební informace

• IIS backdoory - umožňují operátorům ovládat napadený počítač s nainstalovaným IIS na dálku

• IIS injektory - upravují HTTP reakce odeslané legitimním návštěvníkům tak, aby sloužily útočníkům

• IIS proxies - dělají z napadeného serveru bez vědomí uživatele součást příkazové a řídicí infrastruktury pro jinou rodinu škodlivých kódů

Ke zmírnění útoků na IIS server ESET doporučuje:

• Používání jedinečných, silných hesel a vícefaktorovou autentizace na administraci serverů
• Nasazení bezpečnostního řešení pro koncové stanice na server
• Používání brány firewall pro webovou aplikaci
• Aktualizace operačního systému

Riziko sníží i pravidelná kontrola konfigurace IIS serveru s cílem ověřit, zda jsou všechny nainstalované rozšíření legitimní.

Článek ESET software spol. s r. o. ze dne pátek 3. září 2021

Další články od ESET software spol. s r. o.