(https://i.imgur.com/XnuYp2Y.png)
Microsoft dice que los atacantes utilizan cada vez más las extensiones maliciosas del servidor web de Internet Information Services (IIS) para los servidores de Exchange sin parches de puerta trasera, ya que tienen tasas de detección más bajas en comparación con los shells web.
Debido a que están ocultos en lo profundo de los servidores comprometidos y, a menudo, son muy difíciles de detectar si están instalados en la ubicación exacta y usan la misma estructura que los módulos legítimos, brindan a los atacantes un mecanismo de persistencia perfecto y duradero.
"En la mayoría de los casos, la lógica real de la puerta trasera es mínima y no puede considerarse maliciosa sin una comprensión más amplia de cómo funcionan las extensiones legítimas de IIS, lo que también dificulta determinar la fuente de infección", dijo el equipo de investigación de Microsoft 365 Defender el martes.
Acceso persistente a servidores comprometidosLos actores de amenazas rara vez implementan tales extensiones maliciosas después de comprometer un servidor usando exploits para varias fallas de seguridad sin parchear en una aplicación alojada.
Por lo general, se implementan después de que se implementa un shell web como la primera carga útil del ataque. El módulo IIS se implementa más tarde para proporcionar un acceso más sigiloso y persistente (resistente a actualizaciones) al servidor pirateado.
Microsoft vio previamente puertas traseras IIS personalizadas instaladas después de que los actores de amenazas explotaran las vulnerabilidades de ZOHO ManageEngine ADSelfService Plus y SolarWinds Orion .
Después de la implementación, los módulos IIS maliciosos permiten a los actores de amenazas recopilar credenciales de la memoria del sistema, recopilar información de la red de las víctimas y los dispositivos infectados y entregar más cargas útiles.
Más recientemente, en una campaña entre enero y mayo de 2022 dirigida a los servidores de Microsoft Exchange, los atacantes implementaron extensiones IIS maliciosas para obtener acceso a los buzones de correo electrónico de las víctimas, ejecutar comandos de forma remota y robar credenciales y datos confidenciales.
"Después de un período de reconocimiento, volcado de credenciales y establecimiento de un método de acceso remoto, los atacantes instalaron una puerta trasera IIS personalizada llamada FinanceSvcModel.dll en la carpeta C:\inetpub\wwwroot\bin\", agregó Microsoft .
"La puerta trasera tenía la capacidad incorporada para realizar operaciones de administración de Exchange, como enumerar las cuentas de buzón de correo instaladas y exportar buzones de correo para exfiltración".
(https://i.imgur.com/oIPu5xp.png)
Malware implementado en servidores Exchange como módulos IIS maliciososKaspersky también detectó recientemente malware entregado como extensiones IIS en los servidores de Microsoft Exchange para ejecutar comandos y robar credenciales de forma remota.
En diciembre, se utilizó un módulo de servidor web IIS malicioso llamado Owowa para atacar a organizaciones gubernamentales y empresas de transporte público en el sudeste asiático y Europa.
Otro malware de IIS denominado SessionManager se usó sin ser detectado desde al menos marzo de 2021 (justo después del comienzo de la ola masiva de ataques ProxyLogon del año pasado ) en ataques contra organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África. .
"Una vez que ingresan al sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa", dijo Kaspersky en ese momento.
"Los módulos IIS no son un formato común para las puertas traseras, especialmente cuando se comparan con las amenazas típicas de las aplicaciones web como los shells web y, por lo tanto, pueden pasarse por alto fácilmente durante los esfuerzos estándar de monitoreo de archivos".
Para defenderse de los ataques que utilizan módulos IIS maliciosos, Microsoft aconseja a los clientes que mantengan sus servidores Exchange actualizados, mantengan habilitadas las soluciones antimalware y de seguridad, revisen los roles y grupos confidenciales, restrinjan el acceso a los directorios virtuales de IIS, prioricen las alertas e inspeccionen los archivos de configuración. y carpetas bin.
Fuente: https://www.bleepingcomputer.com