Η Microsoft λέει ότι οι εισβολείς χρησιμοποιούν όλο και περισσότερο τις κακόβουλες επεκτάσεις διακομιστή ιστού των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) σε μη επιδιορθωμένους διακομιστές Exchange, καθώς έχουν χαμηλότερα ποσοστά ανίχνευσης σε σύγκριση με τα κελύφη Ιστού.

Επειδή είναι κρυμμένα βαθιά μέσα στους παραβιασμένους διακομιστές και συχνά είναι πολύ δύσκολο να εντοπιστούν ότι είναι εγκατεστημένα στην ακριβή τοποθεσία και χρησιμοποιούν την ίδια δομή με τις νόμιμες μονάδες, παρέχουν στους εισβολείς έναν τέλειο και ανθεκτικό μηχανισμό εμμονής.

“Στις περισσότερες περιπτώσεις, η πραγματική λογική του backdoor είναι ελάχιστη και δεν μπορεί να θεωρηθεί κακόβουλη χωρίς μια ευρύτερη κατανόηση του τρόπου λειτουργίας των νόμιμων επεκτάσεων IIS, γεγονός που καθιστά επίσης δύσκολο τον προσδιορισμό της πηγής μόλυνσης”, δήλωσε την Τρίτη η ομάδα έρευνας του Microsoft 365 Defender.

Μόνιμη πρόσβαση σε παραβιασμένους διακομιστές  

Οι φορείς απειλών σπάνια αναπτύσσουν τέτοιες κακόβουλες επεκτάσεις μετά την παραβίαση ενός διακομιστή χρησιμοποιώντας εκμεταλλεύσεις για διάφορα ελαττώματα ασφαλείας που δεν έχουν επιδιορθωθεί σε μια φιλοξενούμενη εφαρμογή.

Συνήθως αναπτύσσονται μετά την ανάπτυξη ενός κελύφους web ως το πρώτο ωφέλιμο φορτίο στην επίθεση. Η λειτουργική μονάδα IIS αναπτύσσεται αργότερα για να παρέχει πιο κρυφή και επίμονη (ανθεκτική στην ενημέρωση) πρόσβαση στον παραβιασμένο διακομιστή.

Η Microsoft είδε προηγουμένως να εγκατασταθούν προσαρμοσμένες κερκόπορτες IIS μετά ZOHO ManageEngine ADSelfService Plus και του SolarWinds Orion .

Μετά την ανάπτυξη, οι κακόβουλες μονάδες IIS επιτρέπουν στους παράγοντες απειλών να συλλέγουν διαπιστευτήρια από τη μνήμη του συστήματος, να συλλέγουν πληροφορίες από το δίκτυο των θυμάτων και τις μολυσμένες συσκευές και να παραδίδουν περισσότερα ωφέλιμα φορτία.

Πιο πρόσφατα, σε μια καμπάνια μεταξύ Ιανουαρίου και Μαΐου 2022 που στόχευε διακομιστές Microsoft Exchange, οι εισβολείς ανέπτυξαν κακόβουλες επεκτάσεις IIS για να αποκτήσουν πρόσβαση στα γραμματοκιβώτια email των θυμάτων, να εκτελέσουν εντολές από απόσταση και να κλέψουν διαπιστευτήρια και εμπιστευτικά δεδομένα.

“Μετά από μια περίοδο αναγνώρισης, απόρριψης διαπιστευτηρίων και καθιέρωσης μιας μεθόδου απομακρυσμένης πρόσβασης, οι εισβολείς εγκατέστησαν μια προσαρμοσμένη κερκόπορτα IIS που ονομάζεται FinanceSvcModel.dll στο φάκελο C:\inetpub\wwwroot\bin\”, πρόσθεσε.

“Το backdoor είχε ενσωματωμένη δυνατότητα εκτέλεσης λειτουργιών διαχείρισης του Exchange, όπως απαρίθμηση εγκατεστημένων λογαριασμών γραμματοκιβωτίου και εξαγωγή γραμματοκιβωτίων για εξαγωγή.”