Beberapa Keluarga Malware Menargetkan Server Web IIS Dengan Modul Berbahaya

Beberapa Keluarga Malware Menargetkan Server Web IIS Dengan Modul Berbahaya

Analisis sistematis serangan terhadap server Layanan Informasi Internet (IIS) Microsoft telah mengungkapkan sebanyak 14 keluarga malware, 10 di antaranya baru didokumentasikan, menunjukkan bahwa perangkat lunak server web berbasis Windows terus menjadi sarang untuk malware yang dikembangkan secara asli selama hampir delapan tahun.

Temuan ini dipresentasikan hari ini oleh peneliti malware ESET Zuzana Hromcova di Konferensi keamanan Black Hat USA.

Bacaan Lainnya

“Berbagai jenis malware IIS asli yang diidentifikasi adalah malware sisi server dan dua hal terbaik yang dapat dilakukan adalah, pertama, melihat dan mencegat semua komunikasi ke server, dan kedua, memengaruhi cara permintaan diproses,” kata Hromcova dalam sebuah wawancara dengan The Hacker News. “Motivasi mereka berkisar dari kejahatan dunia maya hingga spionase, dan teknik yang disebut penipuan SEO.”

IIS adalah perangkat lunak server web yang dapat diperluas yang dikembangkan oleh Microsoft, memungkinkan pengembang untuk memanfaatkan arsitektur modularnya dan menggunakan modul IIS tambahan untuk memperluas fungsionalitas intinya.

“Tidak mengherankan bahwa ekstensibilitas yang sama menarik bagi pelaku kejahatan – untuk mencegat lalu lintas jaringan, mencuri data sensitif, atau menyajikan konten berbahaya,” menurut laporan ESET yang dibagikan kepada The Hacker News.

“Selain itu, sangat jarang perangkat lunak keamanan titik akhir (dan lainnya) berjalan di server IIS, yang memudahkan penyerang untuk beroperasi tanpa diketahui untuk jangka waktu yang lama. Ini seharusnya mengganggu semua portal web serius yang ingin melindungi mereka. data pengunjung, termasuk otentikasi dan informasi pembayaran.”

Fase malware IIS

Dengan mengumpulkan lebih dari 80 sampel malware, penelitian ini mengelompokkannya ke dalam 14 keluarga unik (Grup 1 hingga Grup 14), yang sebagian besar pertama kali terdeteksi antara 2018 dan 2021 dan sedang dalam pengembangan aktif hingga saat ini. Meskipun mereka mungkin tidak menunjukkan koneksi apa pun satu sama lain, apa yang umum di antara 14 keluarga malware adalah bahwa mereka semua dikembangkan sebagai modul IIS asli yang berbahaya.

“Dalam semua kasus, tujuan utama malware IIS adalah untuk memproses permintaan HTTP yang masuk ke server yang disusupi dan memengaruhi bagaimana server merespons (beberapa dari) permintaan ini – bagaimana mereka diproses tergantung pada jenis malware,” jelas Hromcova. Keluarga malware ditemukan beroperasi di salah satu dari lima mode –

  • Mode pintu belakang – mengontrol komputer yang disusupi dari jarak jauh dengan IIS terpasang
  • Mode pencuri info – mencegat lalu lintas reguler antara server yang disusupi dan pengunjung sahnya, untuk mencuri informasi seperti kredensial masuk dan informasi pembayaran
  • Modus injeksi – memodifikasi tanggapan HTTP yang dikirim ke pengunjung yang sah untuk menyajikan konten berbahaya
  • Modus proxy – mengubah server yang disusupi menjadi bagian yang tidak disadari dari infrastruktur command-and-control (C2) untuk keluarga malware lain, dan menyampaikan komunikasi antara korban dan server C2 yang sebenarnya
  • Modus penipuan SEO – memodifikasi konten yang disajikan ke perayap mesin telusur untuk meningkatkan peringkat secara artifisial untuk situs web yang dipilih (alias halaman pintu)

Infeksi yang melibatkan malware IIS biasanya bergantung pada administrator server secara tidak sengaja menginstal versi trojan dari modul IIS yang sah atau ketika musuh bisa mendapatkan akses ke server dengan mengeksploitasi kelemahan atau kerentanan konfigurasi dalam aplikasi web atau server, menggunakannya untuk menginstal modul IIS.

mekanisme pencurian informasi

Setelah Microsoft merilis tambalan out-of-band untuk kelemahan ProxyLogon yang memengaruhi Microsoft Exchange Server 2013, 2016, dan 2019 awal Maret ini, tidak lama kemudian beberapa kelompok ancaman persisten tingkat lanjut (APT) bergabung dalam hiruk-pikuk serangan, dengan ESET mengamati empat email server yang berlokasi di Asia dan Amerika Selatan yang disusupi untuk menyebarkan cangkang web yang berfungsi sebagai saluran untuk menginstal pintu belakang IIS.

Ini jauh dari pertama kalinya perangkat lunak server web Microsoft muncul sebagai target yang menguntungkan bagi pelaku ancaman. Bulan lalu, para peneliti dari perusahaan keamanan siber Israel Sygnia mengungkapkan serangkaian serangan intrusi dunia maya yang ditargetkan yang dilakukan oleh musuh canggih dan tersembunyi yang dikenal sebagai Praying Mantis yang menargetkan server IIS yang terhubung ke internet untuk menyusup ke entitas publik dan swasta profil tinggi di AS.

Untuk mencegah kompromi server IIS, disarankan untuk menggunakan akun khusus dengan kata sandi yang kuat dan unik untuk tujuan terkait administrasi, menginstal modul IIS asli hanya dari sumber tepercaya, mengurangi permukaan serangan dengan membatasi layanan yang terpapar ke internet, dan menggunakan firewall aplikasi web untuk lapisan keamanan ekstra.

“Salah satu aspek yang paling mengejutkan dari penyelidikan adalah betapa serbagunanya malware IIS, dan [detection of] Skema kriminal penipuan SEO, di mana malware disalahgunakan untuk memanipulasi algoritme mesin telusur dan membantu meningkatkan reputasi situs web pihak ketiga,” kata Hromcova. “Kami belum pernah melihat hal seperti itu sebelumnya.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait