微软:IIS 扩展正越来越多地用作 Exchange 后门

安全
根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。

据Bleeping Computer网站7月26日消息,微软 365 Defender 研究团队在当天公布的一项研究调查中表示,攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展,对未打补丁的 Exchange 服务器部署后门。

与Web Shell相比,利用IIS 扩展能让后门更加隐蔽,通常很难检测到其安装的确切位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。

根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。

对受感染服务器的持续访问

在利用托管应用程序中各种未修补的安全漏洞攻击服务器后,攻击者通常会在 Web Shell中 先部署一个有效负载,并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后,恶意 IIS 模块允许攻击者从系统内存中获取凭证,从受害者的网络和受感染设备收集信息,并提供更多有效负载。

在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中,微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门,以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。

作为 IIS 处理程序安装的 IIS 后门示例

此外,卡巴斯基也曾注意到了类似的情况,去年 12 月,一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以访问公司电子邮件,通过安装其他类型的恶意软件,秘密管理受感染的服务器来实施更进一步的恶意访问,并将这些服务器用作恶意基础设施。

为防御使用恶意 IIS 模块的攻击,微软建议用户保持 Exchange 服务器处于最新状态,在保持反恶意软件等防护程序开启的同时,检查敏感角色和组,限制对 IIS 虚拟目录的访问,确定告警的优先级并检查配置文件和 bin 文件夹。

参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2013-10-21 09:09:14

恶意App安全软件手机病毒

2021-08-10 05:36:25

前端LSP编程

2021-06-10 19:21:23

数字人民币数字货币

2022-10-27 10:39:23

2018-08-23 22:00:18

编程语言PythonHTML5

2022-05-12 14:27:09

黑客MSPs网络安全

2021-07-16 23:33:08

IT计算机薪资

2021-08-03 10:40:24

Kubernetes容器公有云

2024-11-20 16:14:53

2021-04-20 15:37:47

人工智能AI深度学习

2019-11-24 23:32:10

DDoS攻击网络攻击网络威胁

2021-03-22 16:02:47

程序员大数据软件

2022-05-07 07:47:23

SpringJava开发

2010-04-02 16:28:41

2012-12-17 15:02:34

Linux操作系统

2020-12-25 10:14:26

人工智能AI深度学习

2022-11-01 13:30:08

云托管云计算

2022-04-26 07:18:14

Tailwindcscss

2015-12-28 13:37:14

云通信

2013-06-14 09:40:34

扁平化设计iOS7
点赞
收藏

51CTO技术栈公众号