Muhendis
New member
ESET Araştırma Ünitesi, hükümetleri gizlice dinleyen ve e-ticaret süreçlerini gaye alan IIS (Internet Information Services) web sunucusu tehditleri keşfetti. Tehditlerden Güneydoğu Asya’da yer alan hükümetler, Kanada, Vietnam ve Hindistan’daki şirketler etkilendi. ABD, Yeni Zelanda, Güney Kore ve öbür ülkelerdeki şirketlerin de hedeflendiği açıklandı.
ESET araştırmacıları, daha evvel tespit edilmemiş, 10 adet berbat gayeli yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (Internet Information Services) web sunucusu yazılımı için kullanılan makûs emelli uzantılardan oluşuyor. Berbat emelli yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı süreçlerini maksat alıyor. Öbür makus hedefli yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu bağlantılarına ziyan vermeyi amaçlıyor. ESET telemetrisine ve ESET araştırmacılarının bu art kapıların varlığını algılamak için gerçekleştirdiği internet genelindeki ek taramaların neticelerina nazaran bu IIS art kapılardan en az beşi, 2021 yılında Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
Web sunucuları, siber kabahat ve siber casusluk hedefiyle hedefte
IIS berbat gayeli yazılımının siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç berbat hedefli yazılım ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanları tarafınca ayrıntılı bir biçimde incelendi. IIS berbat gayeli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit cinslerinden oluşuyor. Bu tehditlerin asıl maksadı ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği cevabı etkilemek. IIS web sunucuları, siber kabahat ve siber casusluk maksadıyla çeşitli makus hedefli aktörler tarafınca gaye alınıyor.
ESET, IIS makûs maksatlı yazılımın çalıştığı beş ana mod belirledi:
IIS art kapıları yardımıylan saldırganlar IIS heyeti sunucuları uzaktan denetim edebiliyor.
IIS infostealer’lar yardımıyla saldırganlar ele geçirdikleri sunucu ile ziyaretçileri içindeki trafiği engelleyebilir ve kimlik ve ödeme ayrıntıları üzere dataları çalabilir.
IIS enjektörleri, kötü hedefli içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP cevaplarını değiştirir.
IIS proxy’leri ele geçirilen sunucuyu öteki ziyanlı yazılım ailelerini yönetmek için bir komuta denetim sunucusu haline dönüştürebilir.
SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama neticelerinda üstte görüntülenmelerini sağlar.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini tabir ederek şu ayrıntıları paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanması hala epey az olduğundan, saldırganlar uzun müddet fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme ayrıntıları dahil olmak üzere bilgilerini korumak isteyen tüm internet portalları tarafınca bu durum dikkate alınmalıdır. Ayrıyeten web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için değerli bir amaç olabileceğinden bu hususta daha dikkatli olmalıdır”
ESET Araştırma Ünitesi, IIS berbat maksatlı yazılım taarruzlarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
IIS sunucularının idaresinde eşsiz, sağlam şifreler ve fazlaca faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin yeni bulunmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik tahlili kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını sistemli olarak denetim edin.
Hibya Haber Ajansı
ESET araştırmacıları, daha evvel tespit edilmemiş, 10 adet berbat gayeli yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (Internet Information Services) web sunucusu yazılımı için kullanılan makûs emelli uzantılardan oluşuyor. Berbat emelli yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı süreçlerini maksat alıyor. Öbür makus hedefli yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu bağlantılarına ziyan vermeyi amaçlıyor. ESET telemetrisine ve ESET araştırmacılarının bu art kapıların varlığını algılamak için gerçekleştirdiği internet genelindeki ek taramaların neticelerina nazaran bu IIS art kapılardan en az beşi, 2021 yılında Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
Web sunucuları, siber kabahat ve siber casusluk hedefiyle hedefte
IIS berbat gayeli yazılımının siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç berbat hedefli yazılım ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanları tarafınca ayrıntılı bir biçimde incelendi. IIS berbat gayeli yazılımları siber cürüm, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit cinslerinden oluşuyor. Bu tehditlerin asıl maksadı ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği cevabı etkilemek. IIS web sunucuları, siber kabahat ve siber casusluk maksadıyla çeşitli makus hedefli aktörler tarafınca gaye alınıyor.
ESET, IIS makûs maksatlı yazılımın çalıştığı beş ana mod belirledi:
IIS art kapıları yardımıylan saldırganlar IIS heyeti sunucuları uzaktan denetim edebiliyor.
IIS infostealer’lar yardımıyla saldırganlar ele geçirdikleri sunucu ile ziyaretçileri içindeki trafiği engelleyebilir ve kimlik ve ödeme ayrıntıları üzere dataları çalabilir.
IIS enjektörleri, kötü hedefli içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP cevaplarını değiştirir.
IIS proxy’leri ele geçirilen sunucuyu öteki ziyanlı yazılım ailelerini yönetmek için bir komuta denetim sunucusu haline dönüştürebilir.
SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama neticelerinda üstte görüntülenmelerini sağlar.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini tabir ederek şu ayrıntıları paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanması hala epey az olduğundan, saldırganlar uzun müddet fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme ayrıntıları dahil olmak üzere bilgilerini korumak isteyen tüm internet portalları tarafınca bu durum dikkate alınmalıdır. Ayrıyeten web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için değerli bir amaç olabileceğinden bu hususta daha dikkatli olmalıdır”
ESET Araştırma Ünitesi, IIS berbat maksatlı yazılım taarruzlarını tesirlerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
IIS sunucularının idaresinde eşsiz, sağlam şifreler ve fazlaca faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin yeni bulunmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik tahlili kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını sistemli olarak denetim edin.
Hibya Haber Ajansı