Microsoft Internet Information Services (IIS) - это программный пакет веб-сервера, разработанный для Windows Server. Организации обычно используют серверы Microsoft IIS для размещения веб-сайтов, файлов и другого содержимого в Интернете. Субъекты угроз все чаще используют эти интернет-ресурсы как низко висящий плод для поиска и использования уязвимостей, облегчающих доступ к ИТ-средам.
В последнее время активная деятельность группы advanced persistent threat (APT) Lazarus была сосредоточена на поиске уязвимых серверов Microsoft IIS и заражении их вредоносным ПО или использовании их для распространения вредоносного кода. В этой статье подробно описываются атаки вредоносных программ и предлагаются практические рекомендации по защите от них серверов Microsoft IIS.
Microsoft IIS тесно интегрируется с популярной платформой .NET Framework компании, что делает ее особенно подходящей для размещения ASP.NET веб-приложений. Компании используют ASP.NET для создания динамических веб-сайтов или веб-приложений, взаимодействующих с базами данных. Эти приложения, созданные с помощью ASP.NET и работающие в Microsoft IIS, обеспечивают отличную масштабируемость, производительность и совместимость с экосистемой Microsoft.
Несмотря на меньшую популярность, чем пакеты веб-серверов, такие как Nginx или Apache, Microsoft IIS по-прежнему используется на 5,4% всех веб-сайтов, веб-сервер которых известен. К числу предполагаемых известных пользователей Microsoft IIS относятся Accenture, Alibaba Travels, Mastercard и Intuit.
Хотя Microsoft IIS имеет встроенные функции безопасности, важно постоянно обновлять их. Исторически злоумышленники использовали уязвимые серверы IIS, на которых не применялись последние исправления. Последняя волна атак Lazarus отражает эту схему с некоторыми другими дополнительными сложностями.
Манипулируя этим процессом, участники Lazarus внедрили вредоносное ПО на уязвимые серверы. После загрузки DLL выполняет переносимый файл в пространстве памяти сервера. Этот файл является бэкдором, который взаимодействует с сервером командования и управления (C2) группы.
Особое внимание служб безопасности следует обратить на то, что уязвимости, на которые были нацелены эти атаки при первоначальном взломе, обычно проверялись на предмет обнаружения наиболее важных уязвимостей, включая Log4Shell, уязвимость в настольном VoIP-решении 3CX и уязвимость удаленного выполнения кода в решении для цифровых сертификатов MagicLine4NX.
Исследование выявило 47 компаний, пострадавших от вредоносного ПО, вызванного запуском уязвимых версий программного процесса Initech, inisafecrosswebexsvc.exe. Уязвимые версии CrossWeb EX загружают вредоносную библиотеку DLL, SCSKAppLink.dll. Затем эта вредоносная библиотека DLL извлекает дополнительную вредоносную полезную нагрузку, и интересным моментом является то, что URL-адрес полезной нагрузки указывает на сервер Microsoft IIS.
Все это подводит к выводу, что участники Lazarus не только используют распространенные уязвимости для компрометации серверов Microsoft IIS (согласно предыдущему разделу), но и затем подрывают доверие, которое большинство систем оказывают этим серверам приложений, распространяя вредоносное ПО через скомпрометированные серверы IIS.
Например, в рекомендации CISA от марта 2023 года описаны аналогичные нарушения на серверах Microsoft IIS правительства США, возникшие, когда хакеры воспользовались уязвимостью, исправление для которой доступно с 2020 года. Уязвимость, в данном случае, была на серверах, работающих под управлением Progress Telerik, набора фреймворков пользовательского интерфейса и средств разработки приложений.
Итак, вот что вы можете сделать для защиты серверов Microsoft IIS, работающих в вашей среде:
Непрерывное тестирование веб-приложений гарантирует, что при каждом изменении ваших веб-приложений или конфигураций вы повторно оцениваете уровень безопасности своей инфраструктуры и обнаруживаете уязвимости, введенные во время изменений.
Еще одним преимуществом непрерывного тестирования безопасности приложений является глубина охвата. Ручное ручное тестирование ваших веб-приложений выявляет технические недостатки и недостатки бизнес-логики, которые могут пропустить автоматические сканеры. Это покрытие учитывает тот факт, что традиционные сканеры уязвимостей могут иметь ограничения при обнаружении уязвимостей в определенных случаях, например, при нетипичных установках программного обеспечения, где пути к файлам могут отклоняться от нормы. Традиционные периодические оценки безопасности могут оставлять уязвимости незамеченными в течение нескольких месяцев. Непрерывный подход значительно сокращает время между появлением уязвимости и ее обнаружением. Пройдите тестирование безопасности веб-приложений с помощью SWAT Непрерывное тестирование безопасности веб-приложений предлагает упреждающее и эффективное решение для выявления и устранения уязвимостей как в приложениях, которые вы запускаете в Microsoft IIS, так и в базовой серверной инфраструктуре. SWAT от Outpost 24 предоставляет вам автоматическое сканирование, которое обеспечивает непрерывный мониторинг уязвимостей наряду с контекстно-зависимой оценкой рисков для определения приоритетности усилий по исправлению. Вы также получаете доступ к высококвалифицированной команде перьевых тестировщиков, которые проверят ваши приложения на наличие уязвимостей, которые сложнее обнаружить с помощью автоматических сканеров. Все эти функции доступны в едином пользовательском интерфейсе с настраиваемыми уведомлениями. Ознакомьтесь с демонстрацией SWAT в действии здесь и посмотрите, как можно достичь более глубокого уровня мониторинга безопасности и обнаружения рисков.
В последнее время активная деятельность группы advanced persistent threat (APT) Lazarus была сосредоточена на поиске уязвимых серверов Microsoft IIS и заражении их вредоносным ПО или использовании их для распространения вредоносного кода. В этой статье подробно описываются атаки вредоносных программ и предлагаются практические рекомендации по защите от них серверов Microsoft IIS.
Обзор серверов Microsoft IIS
IIS впервые был представлен с Windows NT 3.51 в качестве дополнительного пакета еще в 1995 году. С тех пор было добавлено несколько итераций, улучшений и функций для соответствия развивающемуся Интернету, включая поддержку запросов HTTPS (защищенный HTTP). Помимо того, что Microsoft IIS является веб-сервером и обслуживает запросы HTTP и HTTPS, он также поставляется с FTP-сервером для передачи файлов и SMTP-сервером для служб электронной почты.Microsoft IIS тесно интегрируется с популярной платформой .NET Framework компании, что делает ее особенно подходящей для размещения ASP.NET веб-приложений. Компании используют ASP.NET для создания динамических веб-сайтов или веб-приложений, взаимодействующих с базами данных. Эти приложения, созданные с помощью ASP.NET и работающие в Microsoft IIS, обеспечивают отличную масштабируемость, производительность и совместимость с экосистемой Microsoft.
Несмотря на меньшую популярность, чем пакеты веб-серверов, такие как Nginx или Apache, Microsoft IIS по-прежнему используется на 5,4% всех веб-сайтов, веб-сервер которых известен. К числу предполагаемых известных пользователей Microsoft IIS относятся Accenture, Alibaba Travels, Mastercard и Intuit.
Атаки Lazarus на серверы Microsoft IIS
Lazarus - северокорейская группа кибершпионажа и киберпреступности, которая, как недавно было замечено, использует определенные уязвимости Microsoft IIS. Ранее банда провела несколько самых громких кибератак в истории, включая инцидент с вымогателями WannaCry в 2017 году и кражу виртуальной валюты на 100 миллионов долларов совсем недавно, в июне 2022 года.Хотя Microsoft IIS имеет встроенные функции безопасности, важно постоянно обновлять их. Исторически злоумышленники использовали уязвимые серверы IIS, на которых не применялись последние исправления. Последняя волна атак Lazarus отражает эту схему с некоторыми другими дополнительными сложностями.
Начальный этап вредоносной активности
Расследование, проведенное южнокорейской компанией по кибербезопасности ASEC в мае 2023 года, подтвердило, что субъекты угрозы Lazarus активно сканируют уязвимые серверы Microsoft IIS и используют их. Первоначальная активность была сосредоточена на методах загрузки DLL на стороне, которые использовали уязвимые серверы для выполнения произвольного кода. Атаки с загрузкой DLL на стороне работают, используя преимущества процесса веб-сервера IIS, w3wp.exe загружает библиотеки динамических ссылок (DLL).Манипулируя этим процессом, участники Lazarus внедрили вредоносное ПО на уязвимые серверы. После загрузки DLL выполняет переносимый файл в пространстве памяти сервера. Этот файл является бэкдором, который взаимодействует с сервером командования и управления (C2) группы.
Особое внимание служб безопасности следует обратить на то, что уязвимости, на которые были нацелены эти атаки при первоначальном взломе, обычно проверялись на предмет обнаружения наиболее важных уязвимостей, включая Log4Shell, уязвимость в настольном VoIP-решении 3CX и уязвимость удаленного выполнения кода в решении для цифровых сертификатов MagicLine4NX.
Дальнейшие атаки с использованием серверов IIS для распространения вредоносных программ
Еще один раунд вредоносных атак с участием серверов Microsoft IIS был нацелен на программное обеспечение для проверки финансовой безопасности и целостности INISAFE CrossWeb EX. Программа, разработанная компанией Initech, начиная с версии 3.3.2.41 или более ранней, уязвима для внедрения кода.Исследование выявило 47 компаний, пострадавших от вредоносного ПО, вызванного запуском уязвимых версий программного процесса Initech, inisafecrosswebexsvc.exe. Уязвимые версии CrossWeb EX загружают вредоносную библиотеку DLL, SCSKAppLink.dll. Затем эта вредоносная библиотека DLL извлекает дополнительную вредоносную полезную нагрузку, и интересным моментом является то, что URL-адрес полезной нагрузки указывает на сервер Microsoft IIS.
Все это подводит к выводу, что участники Lazarus не только используют распространенные уязвимости для компрометации серверов Microsoft IIS (согласно предыдущему разделу), но и затем подрывают доверие, которое большинство систем оказывают этим серверам приложений, распространяя вредоносное ПО через скомпрометированные серверы IIS.
Как защитить ваши серверы Microsoft IIS
Технические сложности и запутанность этих атак Lazarus могут скрывать довольно простой характер того, как они вообще могут возникать. Всегда существует начальная точка взлома, и удивительно, как часто эта точка взлома сводится к неэффективному управлению исправлениями.Например, в рекомендации CISA от марта 2023 года описаны аналогичные нарушения на серверах Microsoft IIS правительства США, возникшие, когда хакеры воспользовались уязвимостью, исправление для которой доступно с 2020 года. Уязвимость, в данном случае, была на серверах, работающих под управлением Progress Telerik, набора фреймворков пользовательского интерфейса и средств разработки приложений.
Итак, вот что вы можете сделать для защиты серверов Microsoft IIS, работающих в вашей среде:
- Внедрите эффективное управление исправлениями, которое поддерживает программное обеспечение в актуальном состоянии с использованием последних версий и исправлений, в идеале используя ту или иную форму автоматизации.
- Используйте решение для управления исправлениями, которое точно и всесторонне проводит инвентаризацию всего программного обеспечения, работающего в вашей ИТ-среде, чтобы избежать любых пропущенных исправлений или обновлений от так называемых теневых ИТ.
- Используйте принцип наименьших привилегий для учетных записей служб, чтобы любые службы на ваших серверах Microsoft IIS запускались только с минимально необходимыми разрешениями.
- Анализируйте журналы сетевой безопасности из таких систем, как системы обнаружения вторжений, брандмауэры, средства предотвращения потери данных и виртуальные частные сети. Кроме того, проанализируйте журналы с серверов Microsoft IIS и найдите неожиданные сообщения об ошибках, которые указывают на попытки бокового перемещения или записи файлов в дополнительные каталоги.
- Укрепите пользовательские конечные точки с помощью специализированных средств обнаружения конечных точек и реагирования, которые могут обнаруживать продвинутые атаки и методы уклонения, подобные тем, на которых сосредоточены участники Lazarus.
- Проверьте функциональность исправлений после их применения, поскольку иногда исправление может устанавливаться неправильно по различным причинам, таким как проблемы с совместимостью системы, перерывы во время установки или конфликты программного обеспечения.
Непрерывное тестирование веб-приложений гарантирует, что при каждом изменении ваших веб-приложений или конфигураций вы повторно оцениваете уровень безопасности своей инфраструктуры и обнаруживаете уязвимости, введенные во время изменений.
Еще одним преимуществом непрерывного тестирования безопасности приложений является глубина охвата. Ручное ручное тестирование ваших веб-приложений выявляет технические недостатки и недостатки бизнес-логики, которые могут пропустить автоматические сканеры. Это покрытие учитывает тот факт, что традиционные сканеры уязвимостей могут иметь ограничения при обнаружении уязвимостей в определенных случаях, например, при нетипичных установках программного обеспечения, где пути к файлам могут отклоняться от нормы. Традиционные периодические оценки безопасности могут оставлять уязвимости незамеченными в течение нескольких месяцев. Непрерывный подход значительно сокращает время между появлением уязвимости и ее обнаружением. Пройдите тестирование безопасности веб-приложений с помощью SWAT Непрерывное тестирование безопасности веб-приложений предлагает упреждающее и эффективное решение для выявления и устранения уязвимостей как в приложениях, которые вы запускаете в Microsoft IIS, так и в базовой серверной инфраструктуре. SWAT от Outpost 24 предоставляет вам автоматическое сканирование, которое обеспечивает непрерывный мониторинг уязвимостей наряду с контекстно-зависимой оценкой рисков для определения приоритетности усилий по исправлению. Вы также получаете доступ к высококвалифицированной команде перьевых тестировщиков, которые проверят ваши приложения на наличие уязвимостей, которые сложнее обнаружить с помощью автоматических сканеров. Все эти функции доступны в едином пользовательском интерфейсе с настраиваемыми уведомлениями. Ознакомьтесь с демонстрацией SWAT в действии здесь и посмотрите, как можно достичь более глубокого уровня мониторинга безопасности и обнаружения рисков.
