aptop-5603790_1280.jpg

Onda de malware nativo do IIS atinge servidores Windows

Malware IIS apresenta ameaças diversas, persistentes e crescentes de antigos e novos operadores de ameaças
Da Redação
13/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança alertam que vários grupos de hackers estão comprometendo servidores web que operam com o Windows e implantando malwares desenvolvidos para funcionar como extensões do Internet Information Services (IIS), servidor web criado pela Microsoft para seus sistemas operacionais para servidores.

Esse malware foi implantado este ano por hackers que exploravam vulnerabilidades de dia zero do Microsoft Exchange, mas um total de 14 grupos foram observados usando backdoors nativas do IIS e ladrões de informações nos últimos anos.

“O malware IIS é uma classe diversa de ameaças usadas para crimes cibernéticos, espionagem cibernética e fraude de SEO, mas, em todos os casos, seu principal objetivo é interceptar solicitações HTTP que chegam ao servidor IIS comprometido e afetar como ele responde a (algumas das) essas solicitações”, disseram pesquisadores da empresa de cibersegurança ESET em um relatório recente.

No total, a empresa observou mais de 80 amostras de extensões maliciosas do IIS que pertencem a 14 famílias de malware distintas, dez das quais anteriormente não documentadas.

Múltiplos usos do malware IIS

O IIS suporta módulos que são implementados como DLLs (Dynamic-link library) nativos ou escritos em .NET (gerenciados). Como os módulos nativos são carregados pelo IIS Worker Process, que é iniciado automaticamente, os invasores não precisam implementar nenhum outro mecanismo de persistência para o malware. Os módulos têm acesso irrestrito a todos os recursos disponíveis para o processo de trabalho, portanto, são muito poderosos.

Veja isso
Hackers atacam servidor web IIS com falhas de desserialização
Microsoft faz alerta para corrigir bug e proteger servidor Exchange

Os pesquisadores da ESET identificaram extensões IIS maliciosas que funcionam como backdoors, dando aos atacantes controle sobre o servidor comprometido; infostealers, interceptando o tráfego regular da web entre os usuários e o servidor para roubar credenciais de login, informações de pagamento e outros dados confidenciais; e injetores de tráfego, modificando as respostas HTTP para redirecionar os visitantes para conteúdo malicioso. As extensões também funcionam como proxies, para transformar os servidores comprometidos em retransmissores de tráfego entre outros programas de malware e seus servidores reais de comando e controle; e robôs de fraude de SEO, modificando o conteúdo veiculado para o mecanismo de pesquisa a fim de aumentar artificialmente a classificação SERP de outros sites.

Engenharia social

Instalar e configurar módulos IIS nativos requer privilégios administrativos, portanto, para implantar esses invasores de malware, eles exploram vulnerabilidades em servidores que fornecem esse nível de acesso.

“Entre março e junho de 2021, detectamos uma onda de backdoors IIS espalhadas por meio da cadeia de vulnerabilidade RCE de pré-autenticação do Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 ), também conhecido como ProxyLogon”, disseram os pesquisadores da ESET. “O alvo específico eram os servidores Exchange com Outlook na web [também conhecido como OWA] habilitados. Como o IIS é usado para implementar o OWA, os servidores são um alvo particularmente interessante para espionagem”, disseram eles.

A ESET detectou backdoors IIS que foram implantadas nesta campanha em servidores pertencentes a instituições governamentais de três países do Sudeste Asiático, uma grande empresa de telecomunicações no Camboja, uma instituição de pesquisa no Vietnã e dezenas de empresas privadas dos EUA, Canadá, Vietnã, Índia, Nova Zelândia, Coreia do Sul e outros países.

As mesmas vulnerabilidades do Exchange foram usadas pelo grupo de espionagem cibernética Hafnium, que o governo dos EUA vincula ao Ministério de Segurança da China, para comprometer servidores pertencentes a milhares de organizações e infectá-los com web shell. Os ataques foram tão graves e generalizados que o FBI obteve um raro mandado de busca e apreensão que lhe permitiu acessar ativamente os servidores hackeados e limpar as infecções.

Além da implantação por meio da exploração do servidor, o malware IIS também é distribuído por meio de engenharia social, escondendo-se como versões “trojanizadas” de módulos IIS legítimos e contando com administradores desavisados ​​para instalá-los, disseram os pesquisadores.

Conteúdo malicioso em tempo real

Ao contrário de outros programas de malware que ativamente buscam servidores de comando e controle para receber instruções, o malware IIS tem um canal de comunicação passivo habilitado pelo próprio servidor web. Como eles se conectam ao processo de trabalho, os invasores podem controlá-los, enviando solicitações HTTP especificamente criadas para o servidor da web.

Os pesquisadores observaram invasores enviando comandos para backdoors IIS, gerando URLs específicos ou corpos de solicitação que correspondiam a expressões regulares codificadas, enviando solicitações com cabeçalhos HTTP personalizados ou tokens específicos incorporados na URL, corpo ou cabeçalhos de solicitação.Dito isso, o malware IIS que redireciona os visitantes para sites maliciosos ou fornece conteúdo malicioso geralmente chega aos servidores remotos em tempo real para obter as configurações.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest