Home IT Sicherheits Updates Schädliche IIS-Erweiterungen werden bei Cyberkriminellen für dauerhaften Zugriff immer beliebter

Schädliche IIS-Erweiterungen werden bei Cyberkriminellen für dauerhaften Zugriff immer beliebter

by nwna_de

Bedrohungsakteure missbrauchen zunehmend IIS-Erweiterungen (Internet Information Services) für Backdoor-Server, um einen „dauerhaften Persistenzmechanismus“ einzurichten.

Das ist nach a neue Warnung vom Microsoft 365 Defender Research Team, das sagte, dass „IIS-Hintertüren auch schwerer zu erkennen sind, da sie sich meistens in denselben Verzeichnissen befinden wie legitime Module, die von Zielanwendungen verwendet werden, und sie folgen derselben Codestruktur wie saubere Module.“

Angriffsketten, die diesen Ansatz verfolgen, beginnen damit, eine kritische Schwachstelle in der gehosteten Anwendung für den anfänglichen Zugriff zu bewaffnen, wobei dieser Stützpunkt genutzt wird, um eine Skript-Web-Shell als Nutzlast der ersten Stufe abzulegen.

Internet-Sicherheit

Diese Web-Shell wird dann zum Kanal für die Installation eines bösartigen IIS-Moduls, um einen hochgradig verdeckten und dauerhaften Zugriff auf den Server zu ermöglichen, zusätzlich zur Überwachung eingehender und ausgehender Anfragen sowie zur Ausführung von Remote-Befehlen.

Tatsächlich enthüllten Kaspersky-Forscher Anfang dieses Monats eine Kampagne der Gelsemium-Gruppe, die sich die ProxyLogon Exchange Server-Fehler zunutze machte, um eine IIS-Malware namens SessionManager zu starten.

Schädliche IIS-Erweiterungen

Bei einer weiteren Reihe von Angriffen, die der Tech-Gigant zwischen Januar und Mai 2022 beobachtete, wurden Exchange-Server mit Web-Shells durch einen Exploit für die ProxyShell-Fehler angegriffen, was letztendlich zur Bereitstellung einer Hintertür namens „FinanceSvcModel.dll“ führte, aber nicht vor einer Aufklärungsphase.

Internet-Sicherheit

„Die Hintertür verfügte über eine integrierte Funktion zur Durchführung von Exchange-Verwaltungsvorgängen, wie z. B. das Aufzählen installierter Postfachkonten und das Exportieren von Postfächern zur Exfiltration“, erklärte der Sicherheitsforscher Hardik Suri.

Um solche Angriffe abzuschwächen, wird empfohlen, die neuesten Sicherheitsupdates für Serverkomponenten so schnell wie möglich anzuwenden, Antiviren- und andere Schutzmaßnahmen aktiviert zu lassen, sensible Rollen und Gruppen zu überprüfen und den Zugriff einzuschränken, indem das Prinzip der geringsten Rechte praktiziert und eine gute Anmeldeinformationshygiene aufrechterhalten wird .

Via HN