Web Sunucuları Tehdit Altında ESET araştırmacıları, daha evvel tespit edilmemiş, 10 adet makûs gayeli yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (Internet Information Services) web sunucusu yazılımı için kullanılan berbat hedefli uzantılardan oluşuyor. Berbat maksatlı yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı süreçlerini maksat alıyor. Öbür makûs gayeli yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu irtibatlarına ziyan vermeyi amaçlıyor. ESET telemetrisine ve ESET araştırmacılarının bu art kapıların varlığını algılamak için gerçekleştirdiği internet genelindeki ek taramaların neticelerina bakılırsa bu IIS art kapılardan en az beşi, 2021 yılında Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
Web sunucuları, siber cürüm ve siber casusluk hedefiyle hedefte
IIS makûs emelli yazılımının siber kabahat, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç makus emelli yazılım ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanları tarafınca ayrıntılı bir biçimde incelendi. IIS berbat emelli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit tiplerinden oluşuyor. Bu tehditlerin asıl emeli ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği cevabı etkilemek. IIS web sunucuları, siber kabahat ve siber casusluk maksadıyla çeşitli makûs maksatlı aktörler tarafınca gaye alınıyor.
ESET, IIS berbat hedefli yazılımın çalıştığı beş ana mod belirledi:
ESET Araştırma Ünitesi, IIS makus emelli yazılım ataklarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
Web sunucuları, siber cürüm ve siber casusluk hedefiyle hedefte
IIS makûs emelli yazılımının siber kabahat, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç makus emelli yazılım ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanları tarafınca ayrıntılı bir biçimde incelendi. IIS berbat emelli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit tiplerinden oluşuyor. Bu tehditlerin asıl emeli ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği cevabı etkilemek. IIS web sunucuları, siber kabahat ve siber casusluk maksadıyla çeşitli makûs maksatlı aktörler tarafınca gaye alınıyor.
ESET, IIS berbat hedefli yazılımın çalıştığı beş ana mod belirledi:
- IIS art kapıları yardımıylan saldırganlar IIS şurası sunucuları uzaktan denetim edebiliyor.
- IIS infostealer’lar yardımıyla saldırganlar ele geçirdikleri sunucu ile ziyaretçileri içindeki trafiği engelleyebilir ve kimlik ve ödeme ayrıntıları üzere dataları çalabilir.
- IIS enjektörleri, kötü emelli içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP karşılıklarını değiştirir.
- IIS proxy‘leri ele geçirilen sunucuyu öbür ziyanlı yazılım ailelerini yönetmek için bir komuta denetim sunucusu haline dönüştürebilir.
- SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama neticelerinda üstte görüntülenmelerini sağlar.
ESET Araştırma Ünitesi, IIS makus emelli yazılım ataklarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
- IIS sunucularının idaresinde eşsiz, sağlam şifreler ve hayli faktörlü kimlik doğrulama kullanmalıdır
- İşletim sisteminin şimdiki bulunmasına dikkat edin
- İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik tahlili kullanın,
- Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını tertipli olarak denetim edin