微软:IIS 扩展正越来越多地用作 Exchange 后门
source link: https://netsecurity.51cto.com/article/714914.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
微软:IIS 扩展正越来越多地用作 Exchange 后门-51CTO.COM
据Bleeping Computer网站7月26日消息,微软 365 Defender 研究团队在当天公布的一项研究调查中表示,攻击者正越来越多地使用恶意 Internet 信息服务 (IIS) Web 服务器扩展,对未打补丁的 Exchange 服务器部署后门。
与Web Shell相比,利用IIS 扩展能让后门更加隐蔽,通常很难检测到其安装的确切位置,并且使用与合法模块相同的结构,为攻击者提供了近乎完美的持久性机制。
根据微软 365 Defender 研究团队的说法,在大多数情况下检测到的实际后门逻辑很少,如果不更广泛地了解合法 IIS 扩展的工作原理,就不能将其视为恶意进程,这也使得确定感染源变得更加困难。
对受感染服务器的持续访问
在利用托管应用程序中各种未修补的安全漏洞攻击服务器后,攻击者通常会在 Web Shell中 先部署一个有效负载,并在随后部署 IIS 模块以提供对被黑服务器更隐蔽和持久的访问。微软之前曾注意到攻击者利用ZOHO ManageEngine ADSelfService Plus和SolarWinds Orion漏洞后部署了自定义 IIS 后门。随后,恶意 IIS 模块允许攻击者从系统内存中获取凭证,从受害者的网络和受感染设备收集信息,并提供更多有效负载。
在今年1月至5月期间针对 Microsoft Exchange 服务器的活动中,微软注意到攻击者在文件夹 C:\inetpub\wwwroot\bin\ 中安装了一个名为 FinanceSvcModel.dll 的自定义 IIS 后门,以此来访问受害者的电子邮件邮箱、远程运行命令并窃取凭证和机密数据。
此外,卡巴斯基也曾注意到了类似的情况,去年 12 月,一个名为Owowa的恶意 IIS Web 服务器模块被用于针对东南亚和欧洲的政府组织和公共交通公司。卡巴斯基当时表示,一旦进入受害者的系统,攻击者就可以访问公司电子邮件,通过安装其他类型的恶意软件,秘密管理受感染的服务器来实施更进一步的恶意访问,并将这些服务器用作恶意基础设施。
为防御使用恶意 IIS 模块的攻击,微软建议用户保持 Exchange 服务器处于最新状态,在保持反恶意软件等防护程序开启的同时,检查敏感角色和组,限制对 IIS 虚拟目录的访问,确定告警的优先级并检查配置文件和 bin 文件夹。
参考来源:https://www.bleepingcomputer.com/news/microsoft/microsoft-iis-extensions-increasingly-used-as-exchange-backdoors/
分享到微信 
分享到微博Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK