微软:IIS 扩展正越来越多地用作 Exchange 后门
2022-7-27 18:17:0 Author: FreeBuf(查看原文) 阅读量:18 收藏

据Bleeping Computer网站7月26日消息,微软 365 Defender 研究团队在当天公布的一项研究调查中表示,攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展,对未打补丁的 Exchange 服务器部署后门。

与Web Shell相比,利用IIS 扩展能让后门更加隐蔽,通常很难检测到其安装的确切位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。

根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。

  对受感染服务器的持续访问  

在利用托管应用程序中各种未修补的安全漏洞攻击服务器后,攻击者通常会在 Web Shell中 先部署一个有效负载,并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后,恶意 IIS 模块允许攻击者从系统内存中获取凭证,从受害者的网络和受感染设备收集信息,并提供更多有效负载。

在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中,微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门,以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。

【图:作为IIS处理程序安装的IIS后门示例】

此外,卡巴斯基也曾注意到了类似的情况,去年 12 月,一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以访问公司电子邮件,通过安装其他类型的恶意软件,秘密管理受感染的服务器来实施更进一步的恶意访问,并将这些服务器用作恶意基础设施。

为防御使用恶意 IIS 模块的攻击,微软建议用户保持 Exchange 服务器处于最新状态,在保持反恶意软件等防护程序开启的同时,检查敏感角色和组,限制对 IIS 虚拟目录的访问,确定告警的优先级并检查配置文件和 bin 文件夹。

参考来源:

https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651182474&idx=3&sn=fefc7a29f45c4abea511cccf6853be26&chksm=bd1e47018a69ce17953b6efa67aa2ce904ff12a5666de7cc5dfcac47d009afd5750bde79ba0d#rd
如有侵权请联系:admin#unsafe.sh