website tracking softwareweb stats
موجی از بدافزار IIS به سرورهای ویندوز ضربه می‌زند

موجی از بدافزار IIS به سرورهای ویندوز ضربه می‌زند

آی تی جو بستری جهت درج تبلیغات دانش محور محصولات شما

محققان امنیتی هشدار می‌دهند که چندین گروه، سرورهای وب ویندوز را به خطر می‌اندازند و برنامه‌های بدافزاری را طراحی کرده‌اند که به عنوان برنامه‌های افزودنی (extension) خدمات اطلاعات اینترنتی (IIS) طراحی شده‌اند.

چنین بدافزارهایی امسال توسط هکرهایی که از آسیب پذیری‌های روز صفر (zero-day) مایکروسافت سوء استفاده می‌کردند، استفاده شد، اما در مجموع 14 گروه در سال‌های اخیر با استفاده از درهای پشتی (backdoor) و سرقت اطلاعات بومی IIS مشاهده شده است.

محققان ESET فروشنده محصولات امنیتی در گزارشی اخیر گفتند:«بدافزار IIS طبقه متنوعی از تهدیدها است که برای جرایم سایبری، جاسوسی سایبری و کلاهبرداری SEO استفاده می‌شود؛ اما در همه موارد، هدف اصلی آن رهگیری درخواست‌های HTTP ورودی به سرور IIS آسیب دیده و تأثیر نحوه پاسخگویی سرور به آن‌ها است.»

در مجموع، این شرکت بیش از 80 نمونه از برنامه‌های افزودنی مخرب IIS را که متعلق به 14 خانواده بدافزار متمایز است، مشاهده کرده، که ده مورد از آن‌ها قبلاً مستند نشده بودند.

موارد استفاده زیاد از بدافزار IIS

سرور وب مایکروسافت که با نام IIS شناخته می‌شود، از ماژول‌هایی پشتیبانی می‌کند که یا بصورت DLL (بومی) اجرا می‌شوند و یا با .NET (مدیریت شده) نوشته می‌شوند. از آنجا که ماژول‌های بومی توسط IIS Worker Process بارگیری می‌شوند، که به طور خودکار شروع می‌شود، نیازی نیست که مهاجمان مکانیسم‌های پایداری دیگری را برای بدافزار خود پیاده کنند. ماژول‌ها دسترسی نامحدودی به تمام منابع موجود Worker Process در دارند، بنابراین بسیار قدرتمند هستند.

محققان ESET افزونه‌های مخرب IIS را مشاهده کرده‌اند که عملکرد زیر را دارند:

  • درهای پشتی، به مهاجمان کنترل سرور آسیب دیده را می‌دهد
  • Infostealers، رهگیری ترافیک وب معمولی بین کاربران و سرور برای سرقت اطلاعات ورود به سیستم، اطلاعات پرداخت و سایر داده‌های حساس
  • ترافیک تزریق کننده‌ها، اصلاح پاسخ‌های HTTP برای هدایت بازدیدکنندگان به محتوای مخرب
  • پروکسی‌ها، برای تبدیل سرورهای آسیب دیده به رله‌های ترافیک بین سایر برنامه‌های مخرب و سرورهای فرمان و کنترل واقعی آن‌ها
  • ربات‌های تقلب SEO، تغییر محتوا در موتورهای جستجو به منظور ارتقاء مصنوعی رتبه SERP سایر وب سایت‌ها
ESET
محققان ESET ده‌ها بدافزار را در سرورهای ویندوز یافته‌اند

سوء استفاده‌های سرور و مهندسی اجتماعی

نصب و پیکربندی ماژول‌های بومی IIS نیاز به امتیازات مدیریتی دارد، بنابراین برای استقرار چنین بدافزارهایی از آسیب پذیری‌های سرورهایی که این سطح دسترسی را برای آن‌ها فراهم می‌کند، استفاده می‌شود.

محققان ESET گفتند:« بین مارس و ژوئن 2021، ما موجی از درهای پشتی IIS را که از طریق زنجیره آسیب پذیری RCE پیش احراز هویت Microsoft Exchange، معروف به ProxyLogon گسترش یافته است، تشخیص دادیم. به طور خاص سرورهای Exchange که در Outlook (با نام مستعار OWA) فعال بودند مورد هدف قرار گرفتند؛ از آنجا که IIS برای پیاده سازی OWA استفاده می‌شود، این‌ها هدف جالبی برای جاسوسی بودند.»

این شرکت آنتی ویروس درهای پشتی IIS را شناسایی کرد که در این کمپین روی سرورهای متعلق به نهادهای دولتی سه کشور در جنوب شرقی آسیا، یک شرکت بزرگ مخابراتی در کامبوج، یک موسسه تحقیقاتی در ویتنام و ده‌ها شرکت خصوصی از ایالات متحده، کانادا، ویتنام، و … هند، نیوزلند، کره جنوبی و دیگر کشورها.

همین آسیب پذیری‌های Exchange توسط گروه جاسوسی سایبری Hafnium، که دولت آمریکا آن را به وزارت امنیت دولتی چین (MSS) وابسته می‌داند، برای به خطر انداختن سرورهای متعلق به هزاران سازمان و آلوده کردن آن‌ها به وب شِل استفاده شد. این حملات آنقدر شدید و گسترده بود که FBI یک حکم تفتیش و توقیف نادر گرفت که به آن اجازه می‌داد به طور فعال به سرورهای هک شده دسترسی داشته و آلودگی‌ها را از بین ببرد.

به گفته محققان، بدافزار IIS علاوه بر استقرار از طریق بهره برداری از سرور، از طریق مهندسی اجتماعی توزیع می‌شود و آن را به عنوان نسخه‌های تروجان شده ماژول‌های IIS قانونی و با تکیه بر دسترسی ناخواسته برای نصب آن‌ها توزیع می‌کند.

تشخیص بدافزار IIS

برخلاف سایر برنامه‌های مخرب که برای دریافت دستورالعمل به طور فعال با سرورهای فرمان و کنترل تماس می‌گیرند، بدافزار IIS دارای یک کانال ارتباطی غیرفعال است که توسط خود سرور وب فعال شده است. از آنجا که آن‌ها به Worker Process متصل می‌شوند، مهاجمان می‌توانند آن‌ها را با ارسال درخواستهای HTTP خاص به سرور وب کنترل کنند.

محققان مشاهده کردند مهاجمان با ایجاد آدرس‌های اینترنتی خاص یا درخواست بدنه‌هایی که با عبارات معمولی کدگذاری شده، ارسال درخواست با سرصفحه HTTP سفارشی یا نشانه‌های خاصی که در URL، بدنه درخواست یا هدرها جاسازی شده بودند، دستوراتی را به درهای پشتی IIS ارسال می‌کردند.

که نشان می‌دهد، بدافزار IIS که بازدیدکنندگان را به وب سایت‌های مخرب هدایت می‌کند یا محتوای مخرب را ارائه می‌دهد، معمولاً برای دستیابی به پیکربندی‌ها، در زمان آنی با سرورهای ریموت اتصال برقرار می‌کند.

پیشگیری از بدافزار

برای جلوگیری و تشخیص بدافزار IIS، محققان ESET توصیه‌های زیر را ارائه می‌دهند:

  • برای مدیریت سرور IIS از حسابهای اختصاصی با رمزهای عبور قوی و منحصر به فرد استفاده کنید. احتیاج به احراز هویت چند عاملی (MFA) برای این نظارت بر استفاده از این حساب‌ها دارید.
  • به طور منظم وصله‌های امنیتی سیستم عامل خود را به روزرسانی کنید و با دقت در نظر بگیرید که کدام سرویس‌ها در معرض اینترنت قرار می‌گیرند تا خطر سوء استفاده از سرور کاهش یابد.
  • استفاده از فایروال برنامه وب یا راه حل امنیتی نقطه پایانی را در سرور IIS خود در نظر بگیرید.
  • ماژول‌های بومی IIS دسترسی نامحدودی به هر منبعی دارند که در دسترس پردازنده سرور است، بنابراین فقط ماژول‌های بومی IIS را از منابع معتبر نصب کنید تا از بارگیری نسخه‌های تروجان شده آ‌ن‌ها جلوگیری کنید. به ویژه از ماژول‌هایی که ویژگی‌های بسیار خوب و واقعی را ارائه می‌دهند (مانند بهبود SEO) آگاه باشید.
  • به طور منظم پیکربندی سرور IIS را بررسی کنید تا مطمئن شوید که همه ماژول‌های بومی نصب شده قانونی هستند (توسط ارائه دهنده معتبر امضا شده یا به طور عمد نصب شده است).
آی تی جو بستری جهت اطلاع رسانی، مدیریت و برگزاری وبینارهای تخصصی و آموزشی شما