Microsoft Internet Information Services (IIS), Windows Server için tasarlanmış bir web sunucusu yazılım paketidir. Kuruluşlar web sitelerini, dosyaları ve diğer içerikleri web üzerinde barındırmak için genellikle Microsoft IIS sunucularını kullanır. Tehdit aktörleri, BT ortamlarına erişimi kolaylaştıran güvenlik açıklarını bulmak ve bunlardan yararlanmak için İnternet’e yönelik bu kaynakları giderek daha fazla hedef alıyor.
Son zamanlarda, gelişmiş kalıcı tehdit (APT) grubu Lazarus’un bir dizi faaliyeti, savunmasız Microsoft IIS sunucularını bulmaya ve bunlara kötü amaçlı yazılım bulaştırmaya veya bunları kötü amaçlı kod dağıtmak için kullanmaya odaklandı. Bu makalede, kötü amaçlı yazılım saldırılarının ayrıntıları açıklanmakta ve Microsoft IIS sunucularını bunlara karşı korumaya yönelik uygulanabilir öneriler sunulmaktadır.
Microsoft IIS Sunucularına Genel Bakış
IIS, ilk olarak 1995 yılında Windows NT 3.51 ile isteğe bağlı bir paket olarak tanıtıldı. O zamandan bu yana, HTTPS (güvenli HTTP) istekleri desteği de dahil olmak üzere gelişen İnternet’e uyum sağlamak için çeşitli yinelemeler, iyileştirmeler ve özellikler eklendi. Microsoft IIS, bir web sunucusu olmasının ve HTTP ve HTTPS isteklerini sunmanın yanı sıra, dosya aktarımları için bir FTP sunucusu ve e-posta hizmetleri için bir SMTP sunucusuyla birlikte gelir.
Microsoft IIS, şirketin popüler .NET Framework’üyle sıkı bir şekilde bütünleşir, bu da onu özellikle ASP.NET web uygulamalarının barındırılması için uygun kılar. Şirketler, veritabanlarıyla etkileşime giren dinamik web siteleri veya web uygulamaları oluşturmak için ASP.NET’i kullanıyor. ASP.NET ile oluşturulan ve Microsoft IIS üzerinde çalışan bu uygulamalar, mükemmel ölçeklenebilirlik, performans ve Microsoft ekosistemiyle uyumluluk sunar.
Microsoft IIS, Nginx veya Apache gibi web sunucusu paketlerine göre daha az popüler olmasına rağmen, web sunucusu bilinen tüm web sitelerinin %5,4’ünde kullanımdadır. Microsoft IIS’in sözde önemli kullanıcıları arasında Accenture, Alibaba Travels, Mastercard ve Intuit yer alıyor.
Microsoft IIS Sunucularına Lazarus Saldırıları
Lazarus, yakın zamanda belirli Microsoft IIS güvenlik açıklarından yararlandığı gözlemlenen Kuzey Koreli bir siber casusluk ve siber suç grubudur. Çete daha önce, 2017’deki WannaCry fidye yazılımı olayı ve Haziran 2022 gibi yakın bir tarihte 100 milyon dolarlık sanal paranın çalınması da dahil olmak üzere tarihin en kötü şöhretli siber saldırılarından bazılarını gerçekleştirdi.
Microsoft IIS yerleşik güvenlik özelliklerine sahip olsa da onu güncel tutmak önemlidir. Geçmişte saldırganlar, en son yamaların uygulanmadığı, savunmasız IIS sunucularından yararlanıyordu. Lazarus’un son saldırıları, diğer bazı karmaşıklıklarla birlikte bu modeli yansıtıyor.
Kötü Amaçlı Faaliyetin İlk Turu
Güney Koreli siber güvenlik şirketi ASEC tarafından Mayıs 2023’te yürütülen bir araştırma, Lazarus tehdit aktörlerinin savunmasız Microsoft IIS sunucularını aktif olarak taradığını ve bu sunuculardan yararlandığını doğruladı. İlk faaliyet, rastgele kod yürütmek için savunmasız sunuculardan yararlanan DLL yandan yükleme teknikleri etrafında yoğunlaştı. DLL yandan yükleme saldırıları, IIS web sunucusunun (w3wp.exe) dinamik bağlantı kitaplıklarını (DLL’ler) yükleme biçiminden yararlanarak çalışır.
Lazarus aktörleri bu süreci manipüle ederek savunmasız sunuculara kötü amaçlı yazılım yerleştirdi. DLL yüklendikten sonra sunucunun bellek alanı içinde taşınabilir bir dosyayı çalıştırır. Bu dosya, çetenin komuta ve kontrol (C2) sunucusuyla iletişim kuran bir arka kapıdır.
Güvenlik ekipleri açısından özellikle belirtmek gerekirse, ilk ihlal için bu saldırılarda hedeflenen güvenlik açıkları, masaüstü VoIP çözümü 3CX’teki bir güvenlik açığı olan Log4Shell’i ve dijital VoIP çözümünde bir uzaktan kod yürütme güvenlik açığını içeren yüksek profilli güvenlik açıkları için yaygın olarak taranmıştır. sertifika çözümü MagicLine4NX.
Kötü Amaçlı Yazılım Dağıtmak İçin IIS Sunucularını Kullanan Daha Fazla Saldırı
Microsoft IIS sunucularını içeren bir sonraki kötü amaçlı yazılım saldırıları, finansal güvenlik ve bütünlük kontrol yazılımı INISAFE CrossWeb EX’i hedef aldı. Initech tarafından geliştirilen program, 3.3.2.41 veya önceki sürümlerden itibaren kod enjeksiyonuna karşı savunmasızdır.
Araştırma, Initech yazılım sürecinin (inisafecrosswebexsvc.exe) savunmasız sürümlerini çalıştırmaktan kaynaklanan kötü amaçlı yazılımların etkilediği 47 şirketi ortaya çıkardı. CrossWeb EX’in güvenlik açığı bulunan sürümleri, kötü amaçlı bir DLL dosyası olan SCSKAppLink.dll’yi yükler. Bu kötü amaçlı DLL daha sonra başka bir kötü amaçlı yük getirir ve ilginç olan nokta, yükün URL’sinin bir Microsoft IIS sunucusunu işaret etmesidir.
Tüm bunlar, Lazarus aktörlerinin yalnızca Microsoft IIS sunucularını tehlikeye atmak için ortak güvenlik açıklarından yararlanmakla kalmayıp (önceki bölümde belirtildiği gibi), aynı zamanda çoğu sistemin kötü amaçlı yazılım dağıtmak için bu uygulama sunucularına duyduğu güveni boşa çıkardıkları sonucuna varıyor. güvenliği ihlal edilmiş IIS sunucuları aracılığıyla.
Microsoft IIS Sunucularınızı Nasıl Korursunuz?
Bu Lazarus saldırılarının teknik karmaşıklıkları ve karmaşıklıkları, ilk etapta nasıl gerçekleşebileceklerinin oldukça temel doğasını gizleyebilir. Her zaman başlangıçta bir ihlal noktası vardır ve bu ihlal noktasının ne sıklıkla etkisiz yama yönetimine bağlı olduğu şaşırtıcıdır.
Örneğin, Mart 2023 tarihli bir CISA tavsiye belgesi, ABD hükümetinin Microsoft IIS sunucularında, bilgisayar korsanlarının 2020’den bu yana bir düzeltme eki mevcut olan bir güvenlik açığından yararlanmasıyla ortaya çıkan benzer ihlalleri açıklamaktadır. Bu durumda güvenlik açığı, Progress Telerik’i çalıştıran sunuculardaydı. UI (Kullanıcı Arayüzü) çerçeveleri ve uygulama geliştirme araçları seti.
Ortamınızda çalışan Microsoft IIS sunucularını korumak için şunları yapabilirsiniz:
- İdeal olarak bir tür otomasyon kullanarak, yazılımı en son sürümler ve yamalarla güncel tutan etkili yama yönetimi uygulayın.
- Gölge BT olarak adlandırılan yamaların veya güncellemelerin kaçırılmasını önlemek için BT ortamınızda çalışan tüm yazılımların envanterini doğru ve kapsamlı bir şekilde çıkaran bir yama yönetimi çözümü kullanın.
- Microsoft IIS sunucularınızdaki hizmetlerin yalnızca gerekli minimum izinlerle çalışmasını sağlamak amacıyla hizmet hesapları için en az ayrıcalık ilkesini kullanın.
- İzinsiz giriş tespit sistemleri, güvenlik duvarları, veri kaybını önleme araçları ve sanal özel ağlar gibi sistemlerden gelen ağ güvenliği günlüklerini analiz edin. Ayrıca, Microsoft IIS sunucularındaki günlükleri analiz edin ve yana doğru hareket etme veya dosyaları fazladan dizinlere yazma girişimlerini gösteren beklenmeyen hata mesajlarını arayın.
- Lazarus aktörlerinin odaklandığı türden gelişmiş saldırıları ve kaçınma tekniklerini tespit edebilen özel uç nokta tespit ve müdahale araçlarıyla kullanıcı uç noktalarını güçlendirin.
- Yamaları uyguladıktan sonra işlevselliğini doğrulayın; çünkü bazen sistem uyumluluk sorunları, yükleme sırasındaki kesintiler veya yazılım çakışmaları gibi çeşitli nedenlerden dolayı bir yama düzgün şekilde yüklenmeyebilir.
Son olarak, sürekli web uygulaması güvenlik testleri yoluyla güvenlik açığı yönetimine yaklaşımınızı geliştirin. Lazarus’un saldırılarının da kanıtladığı gibi, Microsoft IIS üzerinde barındırılan web uygulamalarındaki yaygın güvenlik açıkları, saldırganlar tarafından sunucuyu tehlikeye atmak, yetkisiz erişim elde etmek, verileri çalmak veya başka saldırılar başlatmak için kullanılabilir.
Sürekli web uygulaması testi, web uygulamalarınızdaki veya yapılandırmalarınızdaki her değişiklikte altyapınızın güvenlik durumunu yeniden değerlendirmenizi ve değişiklikler sırasında ortaya çıkan güvenlik açıklarını yakalamanızı sağlar.
Sürekli uygulama güvenliği testinin bir diğer avantajı da kapsam derinliğidir. Web uygulamalarınızın manuel kalem testi, otomatik tarayıcıların gözden kaçırabileceği teknik ve iş mantığı kusurlarını ortaya çıkarır. Bu kapsam, geleneksel güvenlik açığı tarayıcılarının, dosya yollarının normdan sapabileceği atipik yazılım kurulumları gibi belirli durumlarda güvenlik açıklarını tespit etmede sınırlamalara sahip olabileceği gerçeğini ele almaktadır. Geleneksel periyodik güvenlik değerlendirmeleri, güvenlik açıklarının aylarca tespit edilememesine neden olabilir. Sürekli bir yaklaşım, bir güvenlik açığının ortaya çıkışı ile keşfedilmesi arasındaki süreyi önemli ölçüde azaltır. SWAT ile Web Uygulaması Güvenlik Testi Alın Sürekli web uygulaması güvenlik testi, hem Microsoft IIS üzerinde çalıştırdığınız uygulamalardaki hem de temeldeki sunucu altyapısındaki güvenlik açıklarını belirlemek ve azaltmak için proaktif ve etkili bir çözüm sunar. Outpost 24’ün SWAT’ı, iyileştirme çabalarını önceliklendirmek için bağlama duyarlı risk puanlamasının yanı sıra sürekli güvenlik açığı izleme sağlayan otomatik taramayla donatır. Ayrıca, otomatik tarayıcılarla tespit edilmesi daha zor olan güvenlik açıklarını tespit etmek için uygulamalarınızı tarayacak, yüksek vasıflı ve deneyimli bir kalem testçileri ekibine de erişebilirsiniz. Tüm bu özellikler, yapılandırılabilir bildirimlere sahip tek bir kullanıcı arayüzünde mevcuttur. Burada canlı bir SWAT demosu edinin ve daha derin bir güvenlik izleme ve risk tespitine nasıl ulaşabileceğinizi görün.