Web kabuklarının aksine, IIS web sunucusu için kötü amaçlı uzantılar daha düşük bir algılama oranına sahiptir, bu da saldırganların bunları yama uygulanmamış Exchange sunucularına arka kapı açmak için giderek daha fazla kullandığı anlamına gelir.
Güvenliği ihlal edilmiş bir sunucunun derinliklerinde saklanabildiklerinden ve genellikle tespit edilmeleri çok zordur. Yasal modüllerle aynı yere kuruldukları ve aynı yapıyı kullandıkları için, saldırganlar ihtiyaç duydukları mükemmel ve dayanıklı kalıcılık mekanizmasını kendilerine sağlayabilirler.
Çünkü meşru modüllerle aynı etkiyi elde etmek için meşru modüllerle aynı yapıyı kullanırlar. Bir arka kapı oluşturmak için kullanılan gerçek mekanizma genellikle oldukça azdır ve çoğu durumda mantık kötü niyetli olarak kabul edilmez.
Sürekli Erişim ve yerleşik Yetenek
Saldırganların, başarılı bir şekilde tehlikeye attıktan sonra bir sunucuya bu tür kötü amaçlı uzantıları enjekte etmek için barındırılan bir uygulamada yamalanmamış güvenlik kusurları kullanması nadirdir.
Bu tür saldırılar genellikle saldırı için ilk yük, genellikle bir web kabuğu dağıtıldıktan sonra dağıtılır. Daha sonra, IIS modülü, daha gizli ve kalıcı bir şekilde erişilebilmesi için güvenliği ihlal edilmiş sunucuya dağıtılır.
Daha önce Microsoft, bilgisayar korsanları aşağıdaki ürünlerden yararlandıktan sonra özel IIS arka kapılarının yüklenmesini deneyimledi:-
- ZOHO ManageEngine ADSelfService Plus
- Güneş Rüzgarları Orion
Dağıtıldıktan sonra kötü amaçlı IIS modülleri tarafından toplanabilecek birkaç şey vardır ve bunlar aşağıda listelenmiştir:-
- Sistemin hafızasından kimlik bilgileri alınır
- Virüs bulaşmış cihazlardan ve kurbanların ağından veri toplama
- Yükler daha yüksek bir oranda teslim edilir
IIS Arka Kapı Türleri
Aşağıda, tüm IIS arka kapı türlerinden bahsettik: –
- Web kabuğu tabanlı varyantlar
- Açık kaynak varyantları
- IIS işleyicileri
- kimlik hırsızları
Kaspersky’nin Microsoft Exchange sunucularına teslim edilen IIS uzantılarına ilişkin son analizinin bir sonucu olarak, kötü amaçlı yazılımın aşağıdaki eylemleri gerçekleştirdiği gözlemlendi:-
- Komutları yürüt
- Kimlik bilgilerini uzaktan çal
En azından Mart 2021’den bu yana benzer bir IIS kötü amaçlı yazılım parçası vahşi ortamda tespit edildi ve bu kötü amaçlı yazılıma SessionManager adı verildi.
Öneriler
Sisteminizi kötü amaçlı IIS modülleri kullanan saldırılara karşı korumak için aşağıdaki azaltıcı önlemleri göz önünde bulundurmanız önerilir:-
- Exchange sunucularını güncel tuttuğunuzdan emin olun
- Kötü amaçlı yazılımdan koruma ve güvenlik çözümlerini her zaman etkin durumda tutmak önemlidir
- Hassas olan rollerin ve grupların gözden geçirildiğinden emin olun
- Yetkisiz erişimi önlemek için IIS sanal dizinleri kısıtlanabilir
- Uyarılar önemlerine göre önceliklendirilmelidir
- Yapılandırma dosyalarının ve bin klasörlerinin sırayla olduğundan emin olun