חוקרי ESET גילו קבוצה של 10 משפחות של תוכנות זדוניות שאינן מוכרות, אשר משתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (IIS) ובאמצעותם התוקפים יכולים להשתלט ולגשת אל המידע בשרת ואף לשנות אותו.
שלוש מהמשפחות החדשות שהתגלו, ממחישות כיצד בוצע שימוש בנוזקת IIS לביצוע פשעי סייבר, ריגול ברשת והונאות SEO. המחקר הוצג לראשונה בכנס Black Hat USA 2021.
האיומים החדשים שהתגלו פועלים באמצעות ציתות והתעסקות עם תקשורת השרת, ומתמקדים בתיבות דוא"ל ממשלתיות, עסקאות של כרטיסי אשראי באתרי איקומרס והפצה נוספת של איומים ונוזקות.
על פי נתוני הטלמטריה של ESET וסריקות נוספות שערכו ברחבי האינטרנט במטרה לזהות את נוכחותן של הדלתות האחוריות עולה כי לפחות חמש מהדלתות האחוריות של IIS התפשטו באמצעות ניצול שרתי הדואר האלקטרוני של Microsoft Exchange בשנת 2021.
בין הקורבנות, ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות.
תוכנות זדוניות של IIS הן סוג של איומים מגוונים המשמשים לפשעי רשת, ריגול סייבר והונאות SEO - אך בכל המקרים, המטרה העיקרית היא ליירט בקשות HTTP הנכנסות לשרת IIS שנפגע, ולהשפיע על האופן שבו השרת מגיב (לחלק מ) לבקשות אלו.
זיהינו חמש דרכים עיקריות בהן פועלת תוכנה זדונית של IIS:
• התחברות באמצעות דלתות אחוריות של IIS שמאפשרות למפעיליהן לשלוט מרחוק על השרת הפגוע.
• גניבת מידע של IIS אשר מאפשר למפעילים ליירט תקשורת ומידע העובר בין השרת שנפגע לבין המבקרים הלגיטימיים שלו
ולגנוב מידע כגון נתונים אישיים, אישורי התחברות ופרטי תשלום.
• הטמנת נוזקות באתרים אשר גורמות נזק למחשבים של מבקרים לגיטימיים.
• שימוש בשרת שנפגע ככלי לתקיפת אתרים או מטרות אחרות.
• הונאת SEO אשר משנה את התוכן המוגש למנועי החיפוש כדי לתפעל אלגוריתמים של SERP ולהגביר את הדירוג של אתרים
אחרים המעניינים את התוקפים.
דפוסי הפעילות השונים של נוזקות IIS
"עדיין די נדיר שתוכנות אבטחה פועלות בשרתי IIS, מה שמקל על התוקפים לפעול במרחב הזה במשך פרקי זמן ארוכים ללא זיהוי. נתונים אלו צריכים להטריד את כל אתרי האינטרנט הרציניים המאחסנים את אתרם בשרתי IIS, ורוצים להגן על נתוני המבקרים שלהם, כולל אימות משתמשים, מידע אישי ופרטי תשלום. ארגונים שמשתמשים ב- Outlook באינטרנט צריכים לשים לב גם מכיוון שהם תלויים ב- IIS ויכולים להיות יעד מעניין לריגול", מסבירה החוקרת, סוזנה הרומקובה.
אנחנו מציעים להקפיד על הנקודות הבאות על מנת להעלות את רמת ההגנה ולהפחית התקפות אפשריות עם תוכנות IIS זדוניות:
• שימוש בסיסמאות ייחודיות, ארוכות ומורכבות
• אימות רב שלבי להתחברות לממשק ניהול של שרתי IIS
• התקנת עדכוני מערכת ההפעלה באופן שוטף ותדיר
• שימוש בחומת אש ופתרון אבטחת תחנות הקצה והשרתים (אנטי וירוס)
• בדיקה שוטפת של תצורת שרת IIS כדי לוודא שכל התוספים המותקנים לגיטימיים
את המחקר המלא, ניתן לקרוא כאן