BAKDØRER

Microsoft advarer: IIS-utvidelser kan skjule bakdører til serveren

Forventer økende bruk av slike metoder.

Microsoft ser økende bruk av ondsinnede IIS-moduler for å etablere bakdører i Windows-baserte servere, inkludert Exchange Server.
Microsoft ser økende bruk av ondsinnede IIS-moduler for å etablere bakdører i Windows-baserte servere, inkludert Exchange Server. Illustrasjonsfoto: Flickr/Jeremy Brooks (CC BY-NC 2.0)
Harald BrombachHarald BrombachNyhetsleder
29. juli 2022 - 16:00

Microsoft 365 Defender Research Team advarer nå om en økende trend hvor angripere benytter utvidelser til webserveren Internet Information Services (IIS) til å skjule opprettelsen av bakdører i Windows-baserte servere.

Ifølge Microsoft dreier det seg først og fremst om IIS-utvidelser som angriperne selv installerer, etter først å ha fått tilgang til serverne. Den vanligste metoden for å oppnå tilgangen, er å bruke et skriptbasert «web shell».

Elon Musk er ute etter Open AI med sin ChatGPT-konkurrent Grok-1, som nå er åpnet opp.
Les også

Elon Musk åpner egen Chat GPT-konkurrent

Vanskelige å oppdage

Ondsinnede IIS-utvidelser brukes deretter for å ha vedvarende tilgang til serveren gjennom én eller flere bakdører. Ifølge Microsoft er disse IIS-baserte bakdørene vanskelige å oppdage fordi programvaren for det meste befinner seg i de samme mappene som legitime moduler. De følger også samme kodestruktur som ikke-infiserte moduler. 

Ifølge Microsoft er den faktiske bakdørlogikken minimal og vil ikke kunne anses som ondsinnet uten bredere forståelse av hvordan legitime IIS-utvidelser fungerer. 

Hvilke IIS-moduler er legitime og hvilke er ondsinnede? For det er lite sannsynlig at de ondsinnede har navn som «Backdoor». <i>Skjermbilde: Microsoft</i>
Hvilke IIS-moduler er legitime og hvilke er ondsinnede? For det er lite sannsynlig at de ondsinnede har navn som «Backdoor». Skjermbilde: Microsoft

I blogginnlegget opplyser Microsoft 365 Defender Research Team at det blant annet har observert en kampanje i månedene januar til mai i år. Denne kampanjen har vært rettet mot Exchange-servere. Her har bakdør-modulene kunnet overvåke både innkommende og utgående forespørsler, samt fjernkjøre kommandoer og i bakgrunnen registrere innloggingsinformasjonen til brukere som logger seg på webapplikasjonen. 

Forsvar krever kunnskap

Microsoft forventer at angripere i økende grad vil utnytte IIS-bakdører. Selskapet mener det derfor er avgjørende at de som skal forsvare systemene mot slike angrep, har kunnskaper og forståelse for hvordan disse angrepene fungerer. 

I blogginnlegget omtaler selskapet derfor i større detalj hva som gjerne  kjennetegner de ulike delene av slike angrep, inkludert de innledende angrepene med web shell, kommandokjøring, tilgang til innloggingsinformasjon og eksfiltrering av informasjon. 

Margrethe Monsen er norgessjef i Redpill Linpro, der hun har jobbet siden år 2000.
Les også

Redpill Linpro: – Vi skal bli enda flere kolleger i løpet av året

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.