محققان امنیتی هشدار میدهند که چندین گروه، سرورهای وب ویندوز را به خطر میاندازند و برنامههای بدافزاری را طراحی کردهاند که به عنوان برنامههای افزودنی (extension) خدمات اطلاعات اینترنتی (IIS) طراحی شدهاند.
چنین بدافزارهایی امسال توسط هکرهایی که از آسیب پذیریهای روز صفر (zero-day) مایکروسافت سوء استفاده میکردند، استفاده شد، اما در مجموع 14 گروه در سالهای اخیر با استفاده از درهای پشتی (backdoor) و سرقت اطلاعات بومی IIS مشاهده شده است.
محققان ESET فروشنده محصولات امنیتی در گزارشی اخیر گفتند:«بدافزار IIS طبقه متنوعی از تهدیدها است که برای جرایم سایبری، جاسوسی سایبری و کلاهبرداری SEO استفاده میشود؛ اما در همه موارد، هدف اصلی آن رهگیری درخواستهای HTTP ورودی به سرور IIS آسیب دیده و تأثیر نحوه پاسخگویی سرور به آنها است.»
در مجموع، این شرکت بیش از 80 نمونه از برنامههای افزودنی مخرب IIS را که متعلق به 14 خانواده بدافزار متمایز است، مشاهده کرده، که ده مورد از آنها قبلاً مستند نشده بودند.
موارد استفاده زیاد از بدافزار IIS
سرور وب مایکروسافت که با نام IIS شناخته میشود، از ماژولهایی پشتیبانی میکند که یا بصورت DLL (بومی) اجرا میشوند و یا با .NET (مدیریت شده) نوشته میشوند. از آنجا که ماژولهای بومی توسط IIS Worker Process بارگیری میشوند، که به طور خودکار شروع میشود، نیازی نیست که مهاجمان مکانیسمهای پایداری دیگری را برای بدافزار خود پیاده کنند. ماژولها دسترسی نامحدودی به تمام منابع موجود Worker Process در دارند، بنابراین بسیار قدرتمند هستند.
محققان ESET افزونههای مخرب IIS را مشاهده کردهاند که عملکرد زیر را دارند:
- درهای پشتی، به مهاجمان کنترل سرور آسیب دیده را میدهد
- Infostealers، رهگیری ترافیک وب معمولی بین کاربران و سرور برای سرقت اطلاعات ورود به سیستم، اطلاعات پرداخت و سایر دادههای حساس
- ترافیک تزریق کنندهها، اصلاح پاسخهای HTTP برای هدایت بازدیدکنندگان به محتوای مخرب
- پروکسیها، برای تبدیل سرورهای آسیب دیده به رلههای ترافیک بین سایر برنامههای مخرب و سرورهای فرمان و کنترل واقعی آنها
- رباتهای تقلب SEO، تغییر محتوا در موتورهای جستجو به منظور ارتقاء مصنوعی رتبه SERP سایر وب سایتها
سوء استفادههای سرور و مهندسی اجتماعی
نصب و پیکربندی ماژولهای بومی IIS نیاز به امتیازات مدیریتی دارد، بنابراین برای استقرار چنین بدافزارهایی از آسیب پذیریهای سرورهایی که این سطح دسترسی را برای آنها فراهم میکند، استفاده میشود.
محققان ESET گفتند:« بین مارس و ژوئن 2021، ما موجی از درهای پشتی IIS را که از طریق زنجیره آسیب پذیری RCE پیش احراز هویت Microsoft Exchange، معروف به ProxyLogon گسترش یافته است، تشخیص دادیم. به طور خاص سرورهای Exchange که در Outlook (با نام مستعار OWA) فعال بودند مورد هدف قرار گرفتند؛ از آنجا که IIS برای پیاده سازی OWA استفاده میشود، اینها هدف جالبی برای جاسوسی بودند.»
این شرکت آنتی ویروس درهای پشتی IIS را شناسایی کرد که در این کمپین روی سرورهای متعلق به نهادهای دولتی سه کشور در جنوب شرقی آسیا، یک شرکت بزرگ مخابراتی در کامبوج، یک موسسه تحقیقاتی در ویتنام و دهها شرکت خصوصی از ایالات متحده، کانادا، ویتنام، و … هند، نیوزلند، کره جنوبی و دیگر کشورها.
همین آسیب پذیریهای Exchange توسط گروه جاسوسی سایبری Hafnium، که دولت آمریکا آن را به وزارت امنیت دولتی چین (MSS) وابسته میداند، برای به خطر انداختن سرورهای متعلق به هزاران سازمان و آلوده کردن آنها به وب شِل استفاده شد. این حملات آنقدر شدید و گسترده بود که FBI یک حکم تفتیش و توقیف نادر گرفت که به آن اجازه میداد به طور فعال به سرورهای هک شده دسترسی داشته و آلودگیها را از بین ببرد.
به گفته محققان، بدافزار IIS علاوه بر استقرار از طریق بهره برداری از سرور، از طریق مهندسی اجتماعی توزیع میشود و آن را به عنوان نسخههای تروجان شده ماژولهای IIS قانونی و با تکیه بر دسترسی ناخواسته برای نصب آنها توزیع میکند.
تشخیص بدافزار IIS
برخلاف سایر برنامههای مخرب که برای دریافت دستورالعمل به طور فعال با سرورهای فرمان و کنترل تماس میگیرند، بدافزار IIS دارای یک کانال ارتباطی غیرفعال است که توسط خود سرور وب فعال شده است. از آنجا که آنها به Worker Process متصل میشوند، مهاجمان میتوانند آنها را با ارسال درخواستهای HTTP خاص به سرور وب کنترل کنند.
محققان مشاهده کردند مهاجمان با ایجاد آدرسهای اینترنتی خاص یا درخواست بدنههایی که با عبارات معمولی کدگذاری شده، ارسال درخواست با سرصفحه HTTP سفارشی یا نشانههای خاصی که در URL، بدنه درخواست یا هدرها جاسازی شده بودند، دستوراتی را به درهای پشتی IIS ارسال میکردند.
که نشان میدهد، بدافزار IIS که بازدیدکنندگان را به وب سایتهای مخرب هدایت میکند یا محتوای مخرب را ارائه میدهد، معمولاً برای دستیابی به پیکربندیها، در زمان آنی با سرورهای ریموت اتصال برقرار میکند.
پیشگیری از بدافزار
برای جلوگیری و تشخیص بدافزار IIS، محققان ESET توصیههای زیر را ارائه میدهند:
- برای مدیریت سرور IIS از حسابهای اختصاصی با رمزهای عبور قوی و منحصر به فرد استفاده کنید. احتیاج به احراز هویت چند عاملی (MFA) برای این نظارت بر استفاده از این حسابها دارید.
- به طور منظم وصلههای امنیتی سیستم عامل خود را به روزرسانی کنید و با دقت در نظر بگیرید که کدام سرویسها در معرض اینترنت قرار میگیرند تا خطر سوء استفاده از سرور کاهش یابد.
- استفاده از فایروال برنامه وب یا راه حل امنیتی نقطه پایانی را در سرور IIS خود در نظر بگیرید.
- ماژولهای بومی IIS دسترسی نامحدودی به هر منبعی دارند که در دسترس پردازنده سرور است، بنابراین فقط ماژولهای بومی IIS را از منابع معتبر نصب کنید تا از بارگیری نسخههای تروجان شده آنها جلوگیری کنید. به ویژه از ماژولهایی که ویژگیهای بسیار خوب و واقعی را ارائه میدهند (مانند بهبود SEO) آگاه باشید.
- به طور منظم پیکربندی سرور IIS را بررسی کنید تا مطمئن شوید که همه ماژولهای بومی نصب شده قانونی هستند (توسط ارائه دهنده معتبر امضا شده یا به طور عمد نصب شده است).
