-
09/04/2020
-
85
-
553 bài viết
Hacker tăng cường tấn công máy chủ Microsoft Exchange qua khai thác backdoor IIS
Microsoft cho biết những kẻ tấn công đang tăng cường lạm dụng các tiện ích mở rộng máy chủ web độc hại của Dịch vụ IIS (Internet Information Services), từ đó nhắm mục tiêu các máy chủ Exchange chưa được vá vì chúng có tỷ lệ phát hiện thấp hơn so với web shell.
Các backdoor “trốn” bên trong các máy chủ bị xâm nhập và thường rất khó phát hiện vị trí cài đặt chính xác. Đồng thời, chúng sử dụng cấu trúc giống như các module hợp pháp nhằm duy trì tình trạng lây nhiễm trên hệ thống nạn nhân.
Nhóm nghiên cứu Microsoft 365 Defender cho biết: “Trong hầu hết các trường hợp, logic backdoor thực tế có rất ít và sẽ không bị phát hiện là độc hại nếu không có hiểu biết rộng về cách thức hoạt động của các tiện ích mở rộng IIS hợp pháp. Điều này cũng gây khó khăn khi xác định nguồn lây nhiễm”.
Chúng thường được triển khai sau khi một web shell được triển khai như payload đầu tiên trong cuộc tấn công. Module IIS sau đó cung cấp cho hacker quyền truy cập lén lút và liên tục (chống cập nhật) vào máy chủ bị tấn công.
Trước đây Microsoft đã phát hiện các backdoor IIS tùy chỉnh được cài đặt sau khi kẻ tấn công khai thác các lỗ hổng ZOHO ManageEngine ADSelfService Plus (CVE-2021-40539) và SolarWinds Orion.
Sau khi triển khai, các module IIS độc hại cho phép kẻ tấn công thu thập thông tin xác thực từ bộ nhớ hệ thống, từ mạng của nạn nhân và các thiết bị lây nhiễm, đồng thời phát tán thêm nhiều payload khác.
Gần đây, trong một chiến dịch nhắm mục tiêu vào máy chủ Microsoft Exchange từ tháng 1 đến tháng 5 năm 2022, những kẻ tấn công đã triển khai các tiện ích mở rộng IIS độc hại để truy cập vào hộp thư email của nạn nhân, chạy lệnh từ xa, đánh cắp thông tin xác thực và dữ liệu bí mật.
"Sau một thời gian theo dõi, kết xuất thông tin đăng nhập và thiết lập phương thức truy cập từ xa, những kẻ tấn công đã cài đặt một cửa hậu IIS tùy chỉnh có tên FinanceSvcModel.dll trong thư mục C:\inetpub\wwwroot \bin\. Cửa hậu có khả năng tích hợp thực hiện các hoạt động quản lý Exchange như liệt kê các tài khoản hộp thư đã cài đặt và xuất hộp thư để lọc".
Vào tháng 12, một module máy chủ web IIS độc hại có tên Owowa đã được sử dụng để nhắm mục tiêu vào các tổ chức chính phủ và các công ty vận tải công cộng trên khắp Đông Nam Á và châu Âu.
Một phần mềm độc hại IIS khác có tên SessionManager đã được sử dụng mà không bị phát hiện kể từ ít nhất tháng 3 năm 2021 (ngay sau khi bắt đầu làn sóng tấn công ProxyLogon lớn vào năm ngoái) trong các cuộc tấn công nhắm vào các tổ chức chính phủ và quân đội từ Châu Âu, Trung Đông, Châu Á và Châu Phi .
Kaspersky cho biết: "Sau khi xâm nhập vào hệ thống của nạn nhân, kẻ tấn công có thể truy cập vào email công ty, cài đặt các loại phần mềm độc hại khác hoặc bí mật quản lý máy chủ bị xâm nhập để lợi dụng làm cơ sở hạ tầng độc hại".
"Module IIS không phải là định dạng phổ biến cho backdoor, đặc biệt là khi so sánh với các mối đe dọa ứng dụng web điển hình như web shell và do đó có thể dễ dàng bị bỏ sót khi giám sát tệp tiêu chuẩn".
Microsoft khuyến cáo khách hàng nên cập nhật máy chủ Exchange và luôn bật các giải pháp chống phần mềm độc hại, hạn chế quyền truy cập vào các thư mục ảo IIS, ưu tiên cảnh báo và kiểm tra các file config và các folder bin.
Các backdoor “trốn” bên trong các máy chủ bị xâm nhập và thường rất khó phát hiện vị trí cài đặt chính xác. Đồng thời, chúng sử dụng cấu trúc giống như các module hợp pháp nhằm duy trì tình trạng lây nhiễm trên hệ thống nạn nhân.
Nhóm nghiên cứu Microsoft 365 Defender cho biết: “Trong hầu hết các trường hợp, logic backdoor thực tế có rất ít và sẽ không bị phát hiện là độc hại nếu không có hiểu biết rộng về cách thức hoạt động của các tiện ích mở rộng IIS hợp pháp. Điều này cũng gây khó khăn khi xác định nguồn lây nhiễm”.
Truy cập liên tục vào các máy chủ bị xâm nhập
Kẻ tấn công ít khi triển khai các tiện ích mở rộng độc hại như vậy sau khi xâm nhập máy chủ bằng cách khai thác các lỗ hổng chưa được vá khác nhau trong một ứng dụng được lưu trữ.Chúng thường được triển khai sau khi một web shell được triển khai như payload đầu tiên trong cuộc tấn công. Module IIS sau đó cung cấp cho hacker quyền truy cập lén lút và liên tục (chống cập nhật) vào máy chủ bị tấn công.
Trước đây Microsoft đã phát hiện các backdoor IIS tùy chỉnh được cài đặt sau khi kẻ tấn công khai thác các lỗ hổng ZOHO ManageEngine ADSelfService Plus (CVE-2021-40539) và SolarWinds Orion.
Sau khi triển khai, các module IIS độc hại cho phép kẻ tấn công thu thập thông tin xác thực từ bộ nhớ hệ thống, từ mạng của nạn nhân và các thiết bị lây nhiễm, đồng thời phát tán thêm nhiều payload khác.
Gần đây, trong một chiến dịch nhắm mục tiêu vào máy chủ Microsoft Exchange từ tháng 1 đến tháng 5 năm 2022, những kẻ tấn công đã triển khai các tiện ích mở rộng IIS độc hại để truy cập vào hộp thư email của nạn nhân, chạy lệnh từ xa, đánh cắp thông tin xác thực và dữ liệu bí mật.
"Sau một thời gian theo dõi, kết xuất thông tin đăng nhập và thiết lập phương thức truy cập từ xa, những kẻ tấn công đã cài đặt một cửa hậu IIS tùy chỉnh có tên FinanceSvcModel.dll trong thư mục C:\inetpub\wwwroot \bin\. Cửa hậu có khả năng tích hợp thực hiện các hoạt động quản lý Exchange như liệt kê các tài khoản hộp thư đã cài đặt và xuất hộp thư để lọc".
Mã độc được triển khai trên máy chủ Exchange dưới dạng module IIS độc hại
Kaspersky cũng đã phát hiện phần mềm độc hại được phân phối dưới dạng tiện ích mở rộng IIS vào máy chủ Microsoft Exchange để thực thi lệnh và lấy cắp thông tin đăng nhập từ xa.Vào tháng 12, một module máy chủ web IIS độc hại có tên Owowa đã được sử dụng để nhắm mục tiêu vào các tổ chức chính phủ và các công ty vận tải công cộng trên khắp Đông Nam Á và châu Âu.
Một phần mềm độc hại IIS khác có tên SessionManager đã được sử dụng mà không bị phát hiện kể từ ít nhất tháng 3 năm 2021 (ngay sau khi bắt đầu làn sóng tấn công ProxyLogon lớn vào năm ngoái) trong các cuộc tấn công nhắm vào các tổ chức chính phủ và quân đội từ Châu Âu, Trung Đông, Châu Á và Châu Phi .
Kaspersky cho biết: "Sau khi xâm nhập vào hệ thống của nạn nhân, kẻ tấn công có thể truy cập vào email công ty, cài đặt các loại phần mềm độc hại khác hoặc bí mật quản lý máy chủ bị xâm nhập để lợi dụng làm cơ sở hạ tầng độc hại".
"Module IIS không phải là định dạng phổ biến cho backdoor, đặc biệt là khi so sánh với các mối đe dọa ứng dụng web điển hình như web shell và do đó có thể dễ dàng bị bỏ sót khi giám sát tệp tiêu chuẩn".
Microsoft khuyến cáo khách hàng nên cập nhật máy chủ Exchange và luôn bật các giải pháp chống phần mềm độc hại, hạn chế quyền truy cập vào các thư mục ảo IIS, ưu tiên cảnh báo và kiểm tra các file config và các folder bin.
Theo BleepingComputer
Chỉnh sửa lần cuối: