ahmetbeyler
Active member
Araştırmacılar daha evvel tespit edilmemiş, 10 adet makus maksatlı yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (Internet Information Services) web sunucusu yazılımı için kullanılan makus maksatlı uzantılardan oluşuyor. Makûs gayeli yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı süreçlerini maksat alıyor. Öteki makûs gayeli yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu irtibatlarına ziyan vermeyi amaçlıyor. ESET telemetrisine ve şirketin araştırmacılarının bu art kapıların varlığını algılamak için gerçekleştirdiği internet genelindeki ek taramaların neticelerina göre bu IIS art kapılardan en az beşi, 2021 yılında Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
Web sunucuları, siber cürüm ve siber casusluk hedefiyle hedefte
IIS berbat maksatlı yazılımının siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç makus hedefli yazılım ailesi (IIStealer, IISpy ve IISerpent) uzmanlar tarafınca ayrıntılı bir biçimde incelendi. IIS makûs hedefli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit çeşitlerinden oluşuyor. Bu tehditlerin asıl emeli ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği karşılığı etkilemek. IIS web sunucuları, siber cürüm ve siber casusluk hedefiyle çeşitli makus emelli aktörler tarafınca maksat alınıyor.
ESET, IIS makûs emelli yazılımın çalıştığı beş ana mod belirledi:
IIS art kapıları yardımıylan saldırganlar IIS heyeti sunucuları uzaktan denetim edebiliyor.
IIS infostealer’lar yardımıyla saldırganlar ele geçirdikleri sunucu ile ziyaretçileri içindeki trafiği engelleyebilir ve kimlik ve ödeme ayrıntıları üzere dataları çalabilir.
IIS enjektörleri, kötü maksatlı içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP cevaplarını değiştirir.
IIS proxy’leri ele geçirilen sunucuyu öbür ziyanlı yazılım ailelerini yönetmek için bir komuta denetim sunucusu haline dönüştürebilir.
SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama neticelerinda üstte görüntülenmelerini sağlar.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini tabir ederek şu ayrıntıları paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanması hala hayli az olduğundan, saldırganlar uzun mühlet fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme ayrıntıları dahil olmak üzere bilgilerini korumak isteyen tüm internet portalları tarafınca bu durum dikkate alınmalıdır. Ayrıyeten web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için değerli bir gaye olabileceğinden bu hususta daha dikkatli olmalıdır”
Şirketin Araştırma Ünitesi, IIS makûs gayeli yazılım ataklarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
IIS sunucularının idaresinde eşsiz, sağlam şifreler ve hayli faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin aktüel bulunmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik tahlili kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını tertipli olarak denetim edin
Web sunucuları, siber cürüm ve siber casusluk hedefiyle hedefte
IIS berbat maksatlı yazılımının siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç makus hedefli yazılım ailesi (IIStealer, IISpy ve IISerpent) uzmanlar tarafınca ayrıntılı bir biçimde incelendi. IIS makûs hedefli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit çeşitlerinden oluşuyor. Bu tehditlerin asıl emeli ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği karşılığı etkilemek. IIS web sunucuları, siber cürüm ve siber casusluk hedefiyle çeşitli makus emelli aktörler tarafınca maksat alınıyor.
ESET, IIS makûs emelli yazılımın çalıştığı beş ana mod belirledi:
IIS art kapıları yardımıylan saldırganlar IIS heyeti sunucuları uzaktan denetim edebiliyor.
IIS infostealer’lar yardımıyla saldırganlar ele geçirdikleri sunucu ile ziyaretçileri içindeki trafiği engelleyebilir ve kimlik ve ödeme ayrıntıları üzere dataları çalabilir.
IIS enjektörleri, kötü maksatlı içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP cevaplarını değiştirir.
IIS proxy’leri ele geçirilen sunucuyu öbür ziyanlı yazılım ailelerini yönetmek için bir komuta denetim sunucusu haline dönüştürebilir.
SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama neticelerinda üstte görüntülenmelerini sağlar.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini tabir ederek şu ayrıntıları paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanması hala hayli az olduğundan, saldırganlar uzun mühlet fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme ayrıntıları dahil olmak üzere bilgilerini korumak isteyen tüm internet portalları tarafınca bu durum dikkate alınmalıdır. Ayrıyeten web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için değerli bir gaye olabileceğinden bu hususta daha dikkatli olmalıdır”
Şirketin Araştırma Ünitesi, IIS makûs gayeli yazılım ataklarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
IIS sunucularının idaresinde eşsiz, sağlam şifreler ve hayli faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin aktüel bulunmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik tahlili kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını tertipli olarak denetim edin