Web sunucuları, açık ve değişken yapıları nedeniyle tehdit aktörleri için birincil hedeftir. Ancak bu sunucuların kullanıcılara çeşitli web servisleri sunabilmesi için açık kalması gerekmektedir.
Web sunucuları tarafından Windows sunucularında sağlanan web hizmetleri aşağıdaki öğeleri içerir:-
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik araştırmacıları, yakın zamanda tehdit aktörlerinin savunmasız, uygun şekilde yönetilmeyen ve henüz yama uygulanmamış web sunucularını ve hizmetlerini aktif olarak hedeflediklerini tespit etti.
Çoğu virüslü sistemde araştırmacılar, tehdit aktörleri tarafından istismar edilen ve bu özellik uzmanların tehdit aktörlerini belirlemesine olanak tanıyan “tripod” adlı bir hesap buldu.
Web Hizmetlerine Saldıran Siber Suçlular
Ayrıca zayıf Apache Tomcat ve JBoss PACS sunucularının da tehdit aktörleri tarafından Metasploit Meterpreter kurulumu için hedef alındığı ortaya çıktı.
Yurtiçi şirketlerdeki Windows sunucuları genellikle IIS web sunucuları kullanır ve Dalbit ve Çin bilgisayar korsanlığı olayları gibi saldırılara sıklıkla maruz kalır.
Saldırılar, savunmasız sistemlere, özellikle birden çok saldırganın aynı sistemi ısrarla hedef aldığı IIS veya MS-SQL sunucularına odaklanır. Ancak, çeşitli kötü amaçlı kodlar ve saldırı günlükleri arasında belirli bir saldırganı belirlemek zordur.
Tipik IIS saldırıları, genellikle Çince konuşan bilgisayar korsanlarıyla bağlantılı olan aşağıdaki yaygın araçları ortaya çıkarır:-
Bazı saldırganlar, VMP’de kodu maskeler veya dosya taramalarından kaçınmak için özel araçlar oluşturarak saldırı kategorizasyonuna yol açar ve bunun yanı sıra, saldırganlar öncelikle aşağıdaki yolda kötü amaçlı kodu oluşturur: –
- %ALLUSERSPROFILE%\Microsoft\DeviceSync\
- %SystemRoot%\debug\WIA\
Bu saldırılarda, tehdit aktörleri, belirli bir kullanıcının ayrıcalıklarını elde etmek için web kabuğundan yararlanan bir komut yürütme aracı olan Sy_Runas’ı da kullanır.
Saldırı araçları genellikle açık kaynaklıdır, bu nedenle PDB gibi saldırgan bilgisinden yoksundurlar ve sadece bu da değil, saldırganlar tarafından kullanılan araçlarda ve kötü amaçlı yazılımlarda Çin bağlantıları bile bulundu.
Kötü Amaçlı Kodlar Geliştirildi ve Kötü Amaçlı Yazılım Kullanıldı
Aşağıda, saldırganların geliştirdiği tüm kötü amaçlı kodlardan bahsettik: –
- Patates kötü amaçlı yazılımı
- Kullanıcı Klonu
- mimikatz
- PrintSpoofer
- Savunmasız PoC kötü amaçlı yazılımı
Tehdit aktörleri, günlük başına daha yüksek Sy_Runas kullanımıyla RunasC’leri ve Sy_Runas’ı kullanır, ancak sistemlerin çoğu aynı zamanda “.Net tabanlı RunasC’ler” varlığını gösterir.
Uzaktan kontrol için tehdit aktörleri şunları kullandı: –
Siber güvenlik analistleri, 2019’dan beri APT saldırılarının sürekli olarak yerel şirketlerin web sunucularını hedef aldığını doğruladı.
Bununla birlikte, bu saldırıların arkasındaki amaç, şirketlerin ana sayfalarına kötü amaçlı reklamlar yerleştirmektir, ancak şimdi mevcut saldırı günlükleri, fidye yazılımının yanında konuşlandırıldığını gösteriyor.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.