מחקר: התגלו איומים התוקפים שרתי IIS ועל הכוונת: ממשלות, אתרי סחר וארגונים
מאת:
מערכת Telecom News, 8.8.21, 14:27
התגלו 10 משפחות של תוכנות זדוניות, שאינן מוכרות, שמשתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (IIS). מהן 5 הדרכים העיקריות בהן פועלת תוכנה זדונית של IIS? זה צריך להטריד אתרי אינטרנט רציניים המאחסנים את אתריהם בשרתי IIS, וארגונים המשתמשים ב-Outlook, שצריכים לשים לב כי הם תלויים ב-IIS
חוקרי חברת אבטחת המידע
ESET גילו קבוצה של 10 משפחות של תוכנות זדוניות, שאינן מוכרות, שמשתמשות בתוספים זדוניים לשרת האינטרנט של מיקרוסופט (
IIS) ובאמצעותם התוקפים יכולים להשתלט ולגשת אל המידע בשרת ואף לשנות אותו.
3 מהמשפחות החדשות, שהתגלו, ממחישות כיצד בוצע שימוש בנוזקת
IIS לביצוע פשעי סייבר, ריגול ברשת והונאות
SEO.
האיומים החדשים, שהתגלו, פועלים באמצעות ציתות והתעסקות עם תקשורת השרת, ומתמקדים בתיבות דוא"ל ממשלתיות, עסקאות של כרטיסי אשראי באתרי איקומרס והפצה נוספת של איומים ונוזקות.
על פי נתוני הטלמטריה של החברה וסריקות נוספות, שערכה ברחבי האינטרנט כדי לזהות את נוכחותן של הדלתות האחוריות, עולה, שלפחות 5 מהדלתות האחוריות של
IIS התפשטו באמצעות ניצול שרתי הדואר האלקטרוני של
Microsoft Exchange ב-2021.
בין הקורבנות ממשלות בדרום מזרח אסיה ועשרות חברות השייכות לתעשיות שונות הממוקמות בקנדה, וייטנאם והודו, אך גם בארה"ב, ניו זילנד, דרום קוריאה ומדינות נוספות.
תוכנות זדוניות של
IIS הן סוג של איומים מגוונים המשמשים לפשעי רשת, ריגול סייבר והונאות
SEO - אך בכל המקרים, המטרה העיקרית היא ליירט בקשות
HTTP הנכנסות לשרת
IIS שנפגע, ולהשפיע על האופן בו השרת מגיב לבקשות אלו.
בחברה זיהו 5 דרכים עיקריות בהן פועלת תוכנה זדונית של IIS:
- התחברות באמצעות דלתות אחוריות של IIS המאפשרות למפעיליהן לשלוט מרחוק על השרת הפגוע.
- גניבת מידע של IIS המאפשר למפעילים ליירט תקשורת ומידע העובר בין השרת שנפגע לבין המבקרים הלגיטימיים שלו ולגנוב מידע כגון נתונים אישיים, אישורי התחברות ופרטי תשלום.
- הטמנת נוזקות באתרים, שגורמות נזק למחשבים של מבקרים לגיטימיים.
- שימוש בשרת שנפגע ככלי לתקיפת אתרים או מטרות אחרות.
- הונאתSEO המשנה את התוכן המוגש למנועי החיפוש כדי לתפעל אלגוריתמים של SERP ולהגביר את הדירוג של אתרים אחרים המעניינים את התוקפים.
דפוסי הפעילות השונים של נוזקות
IIS:
המלצות כדי להעלות את רמת ההגנה ולהפחית את ההתקפות עם תוכנות IIS זדוניות:
- שימוש בסיסמאות ייחודיות, ארוכות ומורכבות,
- אימות רב שלבי להתחברות לממשק ניהול של שרתי IIS
- התקנת עדכוני מערכת ההפעלה באופן שוטף ותדיר,
- שימוש בחומת אש ופתרון אבטחת תחנות הקצה והשרתים (אנטי וירוס),
- בדיקה שוטפת של תצורת שרת IIS כדי לוודא, שכל התוספים המותקנים לגיטימיים.
סוזנה הרומקובה, החוקרת של
ESET: "עדיין די נדיר, שתוכנות אבטחה פועלות בשרתי
IIS, מה שמקל על התוקפים לפעול במרחב הזה במשך פרקי זמן ארוכים ללא זיהוי. נתונים אלה צריכים להטריד את כל אתרי האינטרנט הרציניים המאחסנים את אתריהם בשרתי
IIS, ורוצים להגן על נתוני המבקרים שלהם, כולל אימות משתמשים, מידע אישי ופרטי תשלום. ארגונים, שמשתמשים ב-
Outlook באינטרנט, צריכים לשים לב גם מכיוון שהם תלויים ב-
IIS ויכולים להיות יעד מעניין לריגול".
המחקר המלא -
כאן.