Varias familias de malware se dirigen a servidores web IIS que utilizan módulos maliciosos

Un análisis sistemático de los ataques contra los servidores Internet Information Services (IIS) de Microsoft ha revelado hasta 14 familias de malware, 10 de las cuales se han documentado recientemente, lo que sugiere que el software del servidor web basado en Windows sigue siendo el foco del malware desarrollado de forma nativa durante casi ocho años.

La investigadora de malware de ESET, Zuzana Hromcová, presentó los hallazgos hoy en la conferencia de seguridad Black Hat USA.

«Diferentes tipos de malware IIS nativo son malware del lado del servidor, y las dos cosas que hacen mejor son, primero, ver e interceptar todas las comunicaciones con el servidor y, segundo, afectar la forma en que se procesan las solicitudes», dijo Hromcová en un comunicado. entrevista para The Hacker News. «Su motivación va desde el delito cibernético hasta el espionaje y una técnica llamada fraude SEO».

Instituciones gubernamentales en tres países del sudeste asiático, una gran empresa de telecomunicaciones en Camboya y una institución de investigación en Vietnam, así como decenas de empresas privadas en una serie de industrias, ubicadas principalmente en Canadá, Vietnam e India, Estados Unidos, Nueva Zelanda y Corea del Sur se consideran un objetivo de malware de IIS.

IIS es un software de servidor web extensible desarrollado por Microsoft que permite a los desarrolladores aprovechar su arquitectura modular para incorporar módulos IIS adicionales que amplían su funcionalidad principal.

«No sorprende que la misma escalabilidad sea atractiva para los actores maliciosos: interceptar el tráfico de la red, robar datos confidenciales o manejar contenido malicioso», dijo ESET, que detalla la anatomía de una clase diversa de amenazas que funcionan mediante escuchas ilegales. y manipulación de la comunicación del servidor.

«Además, es relativamente raro que el software de seguridad de puntos finales (y otros) se ejecute en servidores IIS, lo que facilita que los atacantes pasen desapercibidos durante mucho tiempo. Esto debería ser una preocupación para cualquier portal web de buena reputación que quiera proteger su datos del visitante, incluidos los detalles de autenticación y pago».

Fase de malware IIS

Al recopilar más de 80 muestras de malware, el estudio las agrupó en 14 familias únicas (Grupo 1 a Grupo 14), la mayoría de las cuales se detectaron por primera vez entre 2018 y 2021 y aún están en desarrollo activo. Aunque es posible que no tengan interconexiones, las 14 familias de malware tienen en común que todas están desarrolladas como módulos IIS nativos maliciosos.

«En todos los casos, el objetivo principal del malware IIS es procesar las solicitudes HTTP que llegan al servidor comprometido e influir en cómo responde el servidor a (algunas) de estas solicitudes; la forma en que se procesan depende del tipo de malware», dijo Hromcová. explicado. Se ha descubierto que las familias de malware funcionan en uno de cinco modos:

  • Modo puerta trasera – controlar de forma remota la computadora infectada con IIS instalado
  • Modo de tráiler de información – interceptar el tráfico normal entre el servidor comprometido y sus visitantes legítimos para robar información como detalles de inicio de sesión y detalles de pago
  • Modo de inyección – Modifique las respuestas HTTP enviadas a visitantes legítimos para proporcionar contenido malicioso
  • modo proxy – convertir el servidor comprometido en una parte inconsciente de la infraestructura de comando y control (C2) para otra familia de malware y transferir la comunicación entre las víctimas y el servidor C2 real
  • Modo fraudulento de SEO – modificar el contenido proporcionado a los motores de búsqueda para aumentar artificialmente la clasificación de los sitios web (o páginas del portal) seleccionados

Las infecciones que involucran el malware IIS generalmente dependen de los administradores del servidor que, sin darse cuenta, instalan una versión triplemente ajustada de un módulo IIS legítimo, o cuando un adversario obtiene acceso a un servidor explotando una aplicación web o una vulnerabilidad del servidor y usándolo para instalarlo. Módulo IIS con malware.

mecanismo de robo de información

Después del lanzamiento de parches fuera de banda para los errores de ProxyLogon que afectan a Microsoft Exchange Server 2013, 2016 y 2019 a principios de marzo de este año, no pasó mucho tiempo antes de que varios grupos de amenazas persistentes avanzadas (APT) participaran en un frenesí ofensivo, con ESET rastrea cuatro servidores de correo electrónico ubicados en Asia y América del Sur que se vieron comprometidos para implementar shells web que sirvieron como canal para la instalación de puerta trasera de IIS.

Esta no es la primera vez que el software de servidor web de Microsoft se convierte en un objetivo lucrativo para los actores de amenazas. El mes pasado, los investigadores israelíes de seguridad cibernética de Sygnia descubrieron una serie de ataques de intrusión cibernética dirigidos por un adversario avanzado y sigiloso conocido como Praying Mantis, dirigido a servidores IIS habilitados para Internet para infiltrarse en las principales entidades públicas y privadas en los Estados Unidos.

Las víctimas de los módulos IIS nativos se propagan a través de la cadena de vulnerabilidad ProxyLogon

Para evitar comprometer los servidores IIS, se recomienda que use cuentas dedicadas con contraseñas seguras y únicas para fines administrativos, instale módulos IIS nativos solo de fuentes confiables, limite el alcance del ataque restringiendo los servicios expuestos a Internet y use firewalls de aplicaciones web. para otros fines capa de seguridad.

«Uno de los aspectos más sorprendentes de la investigación es cuán versátil es el malware IIS [detection of] Un esquema criminal de fraude de SEO, donde el malware se explota para manipular los algoritmos de los motores de búsqueda y ayuda a aumentar la reputación de los sitios de terceros «, dijo Hromcová. «Nunca habíamos visto algo así antes».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática