Một phân tích có hệ thống về các cuộc tấn công nhằm vào máy chủ Dịch vụ Thông tin Internet (IIS) của Microsoft đã tiết lộ 14 họ phần mềm độc hại, 10 trong số đó mới được ghi nhận, cho thấy rằng phần mềm máy chủ web dựa trên Windows tiếp tục là điểm nóng cho phần mềm độc hại phát triển tự nhiên trong gần tám năm.
Các phát hiện được trình bày hôm nay bởi nhà nghiên cứu phần mềm độc hại của ESET Zuzana Hromcova tại Hội nghị an ninh Black Hat USA.
Hromcova nói trong một phỏng vấn với The Hacker News. “Động cơ của họ bao gồm từ tội phạm mạng đến gián điệp và một kỹ thuật được gọi là gian lận SEO.”
IIS là một phần mềm máy chủ web có thể mở rộng được phát triển bởi Microsoft, cho phép các nhà phát triển tận dụng kiến trúc mô-đun của nó và sử dụng các mô-đun IIS bổ sung để mở rộng chức năng cốt lõi của nó.
“Không có gì ngạc nhiên khi khả năng mở rộng tương tự lại hấp dẫn đối với các tác nhân độc hại – chặn lưu lượng mạng, đánh cắp dữ liệu nhạy cảm hoặc phân phát nội dung độc hại”, theo một báo cáo của ESET được chia sẻ với The Hacker News.
“Hơn nữa, rất hiếm khi phần mềm bảo mật điểm cuối (và các phần mềm khác) chạy trên máy chủ IIS, điều này khiến những kẻ tấn công dễ dàng hoạt động mà không bị chú ý trong thời gian dài. Điều này sẽ gây khó chịu cho tất cả các cổng web nghiêm túc muốn bảo vệ dữ liệu của khách truy cập, bao gồm thông tin xác thực và thanh toán. “
 |
| Các giai đoạn phần mềm độc hại IIS |
Bằng cách thu thập hơn 80 mẫu phần mềm độc hại, nghiên cứu đã nhóm chúng thành 14 họ duy nhất (Nhóm 1 đến Nhóm 14), hầu hết trong số đó được phát hiện lần đầu từ năm 2018 đến năm 2021 và đang trong quá trình phát triển tích cực cho đến nay. Mặc dù chúng có thể không thể hiện bất kỳ kết nối nào với nhau, nhưng điểm chung của tất cả 14 họ phần mềm độc hại là chúng đều được phát triển dưới dạng các mô-đun IIS độc hại.
“Trong mọi trường hợp, mục đích chính của phần mềm độc hại IIS là xử lý các yêu cầu HTTP đến máy chủ bị xâm nhập và ảnh hưởng đến cách máy chủ phản hồi (một số) yêu cầu này – cách chúng được xử lý tùy thuộc vào loại phần mềm độc hại”, Hromcova giải thích. Các họ phần mềm độc hại đã được phát hiện hoạt động ở một trong năm chế độ –
- Chế độ cửa hậu – điều khiển từ xa máy tính bị xâm nhập có cài đặt IIS
- Chế độ Infostealer – chặn lưu lượng truy cập thường xuyên giữa máy chủ bị xâm nhập và khách truy cập hợp pháp của nó, để lấy cắp thông tin như thông tin đăng nhập và thông tin thanh toán
- Chế độ vòi phun – sửa đổi phản hồi HTTP được gửi đến khách truy cập hợp pháp để phân phát nội dung độc hại
- Chế độ proxy – biến máy chủ bị xâm nhập thành một phần không chủ ý của cơ sở hạ tầng lệnh và kiểm soát (C2) cho một họ phần mềm độc hại khác và chuyển tiếp giao tiếp giữa nạn nhân và máy chủ C2 thực tế
- Chế độ gian lận SEO – sửa đổi nội dung được cung cấp cho trình thu thập thông tin của công cụ tìm kiếm để tăng xếp hạng một cách giả tạo cho các trang web đã chọn (còn gọi là các trang ngõ)
Sự lây nhiễm liên quan đến phần mềm độc hại IIS thường bám vào quản trị viên máy chủ do vô tình cài đặt phiên bản bị mã hóa của mô-đun IIS hợp pháp hoặc khi kẻ thù có thể truy cập vào máy chủ bằng cách khai thác điểm yếu hoặc lỗ hổng cấu hình trong ứng dụng web hoặc máy chủ, sử dụng nó để cài đặt mô-đun IIS.
 |
| cơ chế xâm nhập |
Sau khi Microsoft phát hành các bản vá lỗi cho ProxyLogon các lỗi ảnh hưởng đến Microsoft Exchange Server 2013, 2016 và 2019 vào đầu tháng 3 này, không lâu trước khi nhiều nhóm mối đe dọa dai dẳng nâng cao (APT) tham gia vào cuộc tấn công điên cuồng, với ESET quan sát bốn máy chủ email đặt tại Châu Á và Nam Mỹ đã bị xâm nhập để triển khai các trình bao web đóng vai trò như một kênh để cài đặt các cửa hậu IIS.
Đây không phải là lần đầu tiên phần mềm máy chủ web của Microsoft trở thành mục tiêu béo bở cho các tác nhân đe dọa. Tháng trước, các nhà nghiên cứu từ công ty an ninh mạng Sygnia của Israel đã tiết lộ một loạt các cuộc tấn công xâm nhập mạng có chủ đích được thực hiện bởi một kẻ thù lén lút, tiên tiến được gọi là Bọ ngựa nhắm mục tiêu các máy chủ IIS có kết nối internet để xâm nhập vào các tổ chức công cộng và tư nhân có cấu hình cao ở Hoa Kỳ
Để ngăn chặn sự xâm nhập của các máy chủ IIS, bạn nên sử dụng các tài khoản chuyên dụng có mật khẩu mạnh, duy nhất cho các mục đích liên quan đến quản trị, chỉ cài đặt các mô-đun IIS gốc từ các nguồn đáng tin cậy, giảm nguy cơ tấn công bằng cách hạn chế các dịch vụ được tiếp xúc với internet và sử dụng tường lửa ứng dụng web để có thêm lớp bảo mật.
“Một trong những khía cạnh đáng ngạc nhiên nhất của cuộc điều tra là phần mềm độc hại IIS linh hoạt như thế nào và [detection of] Hromcova nói.
