Расширения IIS все чаще используются в качестве бэкдоров Exchange

Расширения IIS все чаще используются в качестве бэкдоров Exchange

Модули IIS устойчивы к обновлениям и позволяют незаметно проникнуть в систему

Microsoft заявляет, что злоумышленники все чаще используют вредоносные расширения веб-серверов Internet Information Services (IIS) для обхода непропатченных серверов Exchange, поскольку их труднее обнаружить по сравнению с веб-шеллами.

Вредоносные расширения спрятаны глубоко внутри скомпрометированных серверов и их очень сложно обнаружить. При установке в правильном месте и использовании той же структуры, что и легитимные модули, расширения предоставляют киберпреступнику совершенный и надежный механизм сохраняемости.

Обычно вредоносные расширения запускаются после развертывания веб-шелла в качестве первой полезной нагрузки в атаке. Модуль IIS развертывается позже, чтобы обеспечить незаметный и устойчивый к обновлениям доступ к взломанному серверу. После развертывания вредоносные модули IIS позволяют злоумышленнику извлекать учетные данные из системной памяти, собирать информацию из сети жертв и доставлять дополнительные полезные нагрузки.

В период с января по май 2022 года в ходе атаки на серверы Microsoft Exchange злоумышленники развернули вредоносные расширения IIS, чтобы получить доступ к почтовым ящикам электронной почты жертв, удаленно выполнять команды и украсть конфиденциальные данные.

Согласно отчету Microsoft , после разведки, сброса учетных данных и установления метода удаленного доступа киберпреступники использовали специальный бэкдор IIS «FinanceSvcModel.dll», который мог выполнять операции управления Exchange, такие как перечисление установленных учетных записей почтовых ящиков и экспорт почтовых ящиков для эксфильтрации.


По словам Microsoft, модули IIS не являются распространенным форматом для бэкдоров, особенно по сравнению с типичными угрозами веб-приложений, такими как веб-оболочки, и поэтому их легко пропустить при стандартном мониторинге файлов.

Для защиты от атак с использованием вредоносных модулей IIS корпорация Майкрософт рекомендует клиентам принять следующие меры:

  • поддерживать актуальность своих серверов Exchange;
  • поддерживать включенными антивирусные программы;
  • проверять конфиденциальные роли и группы;
  • ограничивать доступ к виртуальным каталогам IIS;
  • устанавливать приоритет предупреждений;
  • проверять файлы конфигурации и bin-папки.

Ранее сообщалось, что злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager позволил хакеру сохранять постоянный и скрытый доступ к IT-инфраструктуре организации.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену