يتم تثبيت Backdoor على خادم الويب IIS الخاص بـ Microsoft
يتم تثبيت Backdoor على خادم الويب IIS الخاص بـ Microsoft ,يقوم ممثلو التهديدات بتثبيت باب خلفي في عمليات تثبيت خادم الويب الخاص بـ Microsoft Internet Information Services (IIS) Windows والذي لا يتم اكتشافه بواسطة بعض خدمات فحص الملفات عبر الإنترنت ، كما يقول باحثو Kaspersky.
كما أنهم يحذرون من أن خوادم IIS يجب أن تخضع “لعملية تحقيق كاملة ومخصصة” لأي تنازلات محتملة.
يُطلق على الباب الخلفي اسم SessionManager ، وهو عبارة عن وحدة IIS خبيثة برمز أصلي يمكنها معالجة طلبات HTTP المشروعة التي يتم إرسالها باستمرار إلى الخادم.
وفقًا للتقرير ، يستفيد المهاجمون من ثغرة من نوع ProxyLogon لإدراج الوحدة. ProxyLogon هو اسم CVE-2021-26855 ، وهي ثغرة أمنية في Microsoft Exchange Server تسمح للمهاجمين بتجاوز المصادقة وانتحال شخصية المسؤول.
“إن إسقاط وحدة IIS باعتبارها بابًا خلفيًا يمكّن الجهات الفاعلة في التهديد من الحفاظ على وصول مستمر ومقاوم للتحديث وخفي نسبيًا إلى البنية التحتية لتكنولوجيا المعلومات في مؤسسة مستهدفة ؛ قال باحثو كاسبرسكي في التقرير الصادر اليوم: “سواء كان ذلك لجمع رسائل البريد الإلكتروني ، أو تحديث المزيد من الوصول الضار ، أو إدارة الخوادم المخترقة سرًا والتي يمكن الاستفادة منها كبنية تحتية ضارة”.
تم استخدام SessionManager ضد المنظمات غير الحكومية ، والمنظمات الحكومية والعسكرية والصناعية في إفريقيا وأمريكا الجنوبية وآسيا وأوروبا وروسيا والشرق الأوسط ، بدءًا من مارس 2021 على الأقل.
إنها فقط الأحدث من بين عدد من وحدات IIS الضارة التي شاهدها الباحثون. في كانون الأول (ديسمبر) ، أبلغت Kaspersky عن أحدها أطلق عليه اسم Owowa لأنه يسرق بيانات الاعتماد ويمكّن تنفيذ الأوامر عن بُعد مما كان يُعرف باسم Outlook Web App (OWA) ويُعرف الآن باسم Outlook على الويب.
تتعامل الوحدات النمطية الضارة مع طلبات HTTP التي تبدو مشروعة ولكنها مصممة خصيصًا من الجهات الفاعلة في التهديد ، وتطلق الإجراءات بناءً على الإرشادات المخفية للمشغلين ، إن وجدت ، ثم تنقل الطلب بشفافية إلى الخادم لتتم معالجته تمامًا مثل أي طلب آخر. نتيجة لذلك ، لا يتم رصد هذه الوحدات بسهولة من خلال ممارسات المراقبة المعتادة: فهي لا تبدأ بالضرورة اتصالات مشبوهة إلى الخوادم الخارجية ، وتتلقى أوامر من خلال طلبات HTTP إلى خادم يتعرض على وجه التحديد لمثل هذه العمليات ، وغالبًا ما يتم تجاهل ملفاتها المواقع التي تحتوي على الكثير من الملفات الشرعية الأخرى.
يوفر SessionManager ثلاث إمكانيات ، عند دمجها ، تجعلها خلفية دخول أولية ثابتة وخفيفة الوزن ، كما يقول التقرير:
قراءة الملفات التعسفية والكتابة إليها وحذفها على الخادم المخترق ؛
تنفيذ ثنائيات عشوائية من الخادم المخترق ، والمعروف أيضًا باسم “تنفيذ الأمر عن بُعد” ؛
إنشاء اتصالات بنقاط نهاية شبكة عشوائية يمكن الوصول إليها عن طريق الخادم المخترق ، بالإضافة إلى القراءة والكتابة في مثل هذه الاتصالات.
يقول كاسبيرسكي: “لا يمكننا التأكيد بما فيه الكفاية على أن خوادم IIS يجب أن تخضع لعملية تحقيق كاملة ومخصصة بعد الفرصة الهائلة التي كشفت عنها نقاط الضعف على غرار ProxyLogon”.
يشير التقرير إلى أنه للعثور على جميع وحدات IIS التي تم تحميلها ، استخدم واجهة المستخدم الرسومية لإدارة IIS ، أو من سطر أوامر IIS appcmd. إذا تم العثور على وحدة ضارة ، فإن حذفها لا يكفي. توصي Kaspersky المحققين
أخذ لقطة ذاكرة متقلبة على النظام قيد التشغيل حاليًا حيث يتم تنفيذ IIS. طلب المساعدة من خبراء الطب الشرعي والاستجابة للحوادث إذا لزم الأمر ؛
أوقف خادم IIS ، وافصل بشكل مثالي النظام الأساسي عن الشبكات التي يمكن الوصول إليها بشكل عام ؛
نسخ جميع الملفات والسجلات احتياطيًا من بيئة IIS ، للاحتفاظ بالبيانات لمزيد من الاستجابة للحوادث. التحقق من إمكانية فتح النسخ الاحتياطية أو استخراجها بنجاح ؛
باستخدام IIS Manager أو أداة الأمر appcmd ، قم بإزالة كل مرجع للوحدة المحددة من التطبيقات وتكوينات الخادم. قم بمراجعة ملفات تكوين IIS XML المرتبطة يدويًا للتأكد من إزالة أي مرجع للوحدات النمطية الضارة – قم يدويًا بإزالة المراجع في ملفات XML ؛
تحديث خادم IIS ونظام التشغيل الأساسي للتأكد من عدم تعرض أي ثغرات أمنية معروفة للمهاجمين ؛
أعد تشغيل خادم IIS وأعد النظام متصلاً بالإنترنت مرة أخرى.
بعد ذلك ، يجب تحليل الوحدة الخبيثة ولقطة الذاكرة والنسخ الاحتياطية لفهم كيفية الاستفادة من الأدوات الخبيثة المحددة.
إضافة تعليق