0
0
Atacantes usam cada vez mais extensões do IIS como backdoors de servidor. A Microsoft alertou sobre um aumento nas extensões mal-intencionadas do Internet Information Services (IIS) usadas como backdoors em servidores Exchange.
Embora não sejam tão comumente usadas em ataques contra servidores quanto os shells da Web, as extensões do IIS fornecem um mecanismo de persistência durável , pois se escondem profundamente nos ambientes de destino, observa a Microsoft.
As extensões do IIS também têm uma taxa de detecção relativamente baixa em comparação com os shells da Web e são mais difíceis de detectar porque se assemelham e se comportam como módulos legítimos: são implantados nos mesmos diretórios e têm a mesma estrutura de código.
“Na maioria dos casos, a lógica real do backdoor é mínima e não pode ser considerada maliciosa sem uma compreensão mais ampla de como as extensões legítimas do IIS funcionam, o que também dificulta a determinação da fonte de infecção”, explica a Microsoft.
Os invasores normalmente exploram uma vulnerabilidade crítica no aplicativo hospedado para acesso inicial e, em seguida, implantam um web shell. Mais tarde, eles instalam um backdoor do IIS para acesso persistente ao servidor.
Depois de ser registrado com o aplicativo de destino, o backdoor monitoraria solicitações de entrada e saída, além de fornecer suporte para execução de comandos remotos e despejo de credenciais em segundo plano.
“Esperamos que os invasores continuem a aproveitar cada vez mais os backdoors do IIS”, observa a Microsoft.
Entre janeiro e maio de 2022, os agentes de ameaças direcionados aos servidores Exchange foram vistos usando um backdoor do IIS em coordenação com outros módulos personalizados do IIS, diz a gigante da tecnologia.
Após o acesso inicial, os invasores realizariam operações como reconhecimento, despejo de credenciais e estabelecimento de um canal de acesso remoto.
Em seguida, eles foram vistos instalando um backdoor personalizado do IIS que poderia realizar operações de gerenciamento do Exchange, incluindo enumerar caixas de correio e exportá-las para exfiltração.
Os invasores estavam usando a ferramenta de conexão de linha de comando plink.exe para acesso remoto e o projeto de código aberto PowerShDLL para execução remota de comandos e habilitaram as configurações de registro do WDigest para forçar a retenção de senhas de texto simples na memória.
No ano passado, a Microsoft observou pelo menos quatro tipos de backdoors do IIS, incluindo versões de shells da Web baseadas em módulo do IIS, projetos de código aberto, manipuladores do IIS e ladrões de credenciais – módulos que monitoram padrões de entrada no tráfego de rede e despejo credenciais em formato criptografado.
Para se manterem protegidos contra backdoors do IIS, as organizações são aconselhadas a implantar atualizações de software em tempo hábil, usar soluções de segurança, revisar grupos altamente privilegiados, aplicar o princípio de privilégio mínimo, priorizar alertas e inspecionar regularmente o arquivo de configuração e a pasta bin.
Atacantes usam cada vez mais extensões do IIS como backdoors de servidor
Revise funções e grupos confidenciais
Revise grupos altamente privilegiados como Administradores, Usuários de Área de Trabalho Remota e Administradores Corporativos. Os invasores adicionam contas a esses grupos para se firmar em um servidor. Revise regularmente esses grupos para adições ou remoções suspeitas. Para identificar anomalias específicas do Exchange, revise a lista de usuários em funções confidenciais, como exportação de importação de caixa de correio e gerenciamento da organização, usando o cmdlet Get-ManagementRoleAssignment no Exchange PowerShell.
Acesso restrito
Pratique o princípio do privilégio mínimo e mantenha uma boa higiene de credenciais. Evite o uso de contas de serviço de nível de administrador em todo o domínio. Aplique senhas fortes de administrador local aleatórias e just-in-time e ative a MFA. Use ferramentas de PAM e gerenciadores de identidade e mantenha uma política de revisão e monitoração do uso indevido de credenciais.
Coloque restrições de lista de controle de acesso em diretórios virtuais no IIS. Além disso, remova a presença de servidores Exchange locais quando usados apenas para gerenciamento de destinatários em ambientes híbridos do Exchange.
Priorizar alertas
Os padrões distintos de comprometimento do servidor ajudam na detecção de comportamentos maliciosos e informam as equipes de operações de segurança para responder rapidamente aos estágios iniciais do comprometimento. Preste atenção e investigue imediatamente os alertas que indicam atividades suspeitas nos servidores. Capturar ataques na fase exploratória, o período em que os invasores passam vários dias explorando o ambiente após obter acesso, é fundamental. Priorize alertas relacionados a processos como net.exe , cmd.exe originários de w3wp.exe em geral.
Inspecione o arquivo de configuração e a pasta bin
Inspecione regularmente o web.config de seu aplicativo de destino e ApplicationHost.config para identificar quaisquer adições suspeitas, como um manipulador de arquivos de imagem — que é suspeito por si só, se não totalmente malicioso. Além disso, verifique regularmente os caminhos instalados, como o diretório bin do aplicativo e o local padrão do GAC. Também é aconselhável inspecionar regularmente a lista de módulos instalados usando os utilitários appcmd.exe ou gacutil.exe.
FONTE: MINUTO DA SEGURANCA