Hrozby pro webový server IIS: Odposlechy vlád i útoky na platební transakce

Analytici Eset objevili skupinu deseti nezdokumentovaných rodin malware, které jsou implementovány jako rozšíření pro software webového serveru Internet Information Services.

Tento malware odposlouchává a manipuluje s komunikací serveru. Cílený je na vládní e-mailové schránky, transakce kreditními kartami na internetových obchodech, obsahuje také funkce pro další distribuci malwaru. Podle výzkumu společnosti Eset se v roce 2021 šířilo nejméně pět variant malware prostřednictvím zneužití e-mailových serverů Microsoft Exchange.

Internet Information Services (IIS) je webový server, který obsahuje moduly pro operační systém Windows od Microsoftu. Spolu se servery Apache a Nginx patří mezi nejpoužívanější webové servery na světě.

Mezi oběťmi útočníků jsou vlády v jihovýchodní Asii a desítky společností z různých průmyslových odvětví, které se nacházejí zejména v Kanadě, Vietnamu a Indii, ale i v USA, na Novém Zélandu, v Jižní Koreji a dalších zemích.

Oběti IIS backdoor šířících se prostřednictvím Microsoft Exchange Server zranitelností ProxyLogon

IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody (neboli podvody s výsledky vyhledávání v prohlížečích). Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé požadavky.

„Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky,“ říká výzkumnice společnosti Eset, Zuzana Hromcová, která je i autorkou publikované studie.

ESET identifikoval pět hlavních režimů IIS malwaru:

• IIS backdoory, které umožňují operátorům ovládat napadený počítač s nainstalovaným IIS na dálku.
• IIS infostealery, které umožňují operátorům zachytit pravidelný přenos mezi napadeným serverem a jeho legitimními návštěvníky a ukrást například přihlašovací údaje či platební informace.
• IIS injektory, které upravují HTTP reakce odeslané legitimním návštěvníkům tak, aby sloužily útočníkům.
• IIS proxies, které dělají z napadeného serveru bez vědomí uživatele součást příkazové a řídicí infrastruktury pro jinou rodinu škodlivých kódů.
• IIS malware zaměřený na SEO (Search Engine Optimization, neboli optimalizace stránky pro vyhledávače) podvody, který upravuje obsah sloužící vyhledávači tak, aby manipuloval s řazením výsledků ve vyhledávacím algoritmu a zlepšoval hodnocení webových stránek útočníků.

„Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování. To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže,“ vysvětluje Hromcová.

Výzkumníci společnosti ESET doporučují několik opatření, které mohou pomoci zmírnit útoky na IIS server. Mezi ně patří používání jedinečných, silných hesel a vícefaktorová autentifikace na administraci serverů, aktualizace operačního systému, používání brány firewall pro webovou aplikaci či nasazení bezpečnostního řešení pro koncové stanice na server. Riziko sníží i pravidelná kontrola konfigurace IIS serveru s cílem ověřit, zda jsou všechny nainstalované rozšíření legitimní.