NESABAMEDIA.COM – Microsoft mengatakan bahwa pelaku peretasan semakin banyak yang menggunakan ekstensi server web Internet Information Services (IIS) yang berbahaya ke server Exchange, yang tidak ditambal backdoor, karena mereka memiliki tingkat deteksi yang lebih rendah dibandingkan dengan web shell.
Karena mereka tersembunyi jauh di dalam server yang disusupi dan seringkali sangat sulit untuk dideteksi, serta menggunakan struktur yang sama dengan modul yang sah, layanan itu memberikan para pelaku peretasan mekanisme persistensi yang sempurna dan tahan lama.
“Dalam kebanyakan kasus, penggunaan metode backdoor sebenarnya sangat minim, dan tidak dapat dianggap berbahaya, tanpa adanya pemahaman yang lebih luas tentang cara kerja ekstensi IIS yang sah, yang juga mempersulit untuk menentukan sumber infeksi,” ungkap tim dari Microsoft 365.
Pelaku peretasan jarang menyebarkan ekstensi berbahaya semacam itu, utamanya setelah menyerang server menggunakan teknik eksploitasi untuk berbagai kelemahan keamanan yang belum ditambal di aplikasi yang dihosting. IIS biasanya digunakan setelah web shell digunakan sebagai muatan pertama dalam serangan tersebut. Modul IIS kemudian digunakan untuk memberikan akses yang lebih tersembunyi dan persisten (tahan pembaruan) ke server yang diretas.
Microsoft sebelumnya melihat backdoor IIS khusus dipasang setelah pelaku mengeksploitasi kerentanan ZOHO ManageEngine ADSelfService Plus dan SolarWinds Orion. Setelah penyebaran, modul IIS berbahaya memungkinkan pelaku untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan lebih banyak muatan.
Baru-baru ini, dalam sebuah kampanye serangan antara bulan Januari sampai Mei 2022 yang menargetkan server Microsoft Exchange, para pelaku menyebarkan ekstensi IIS berbahaya untuk mendapatkan akses ke kotak surat email korban, menjalankan perintah dari jarak jauh, dan mencuri kredensial dan data rahasia.
“Setelah beberapa saat melakukan pengintaian, membuang kredensial, dan membuat metode akses jarak jauh, pelaku memasang pintu belakang IIS khusus yang disebut FinanceSvcModel.dll di folder C:\inetpub\wwwroot\bin\. Backdoor memiliki kemampuan bawaan untuk melakukan operasi manajemen Exchange, seperti menghitung akun kotak surat yang dipasang dan mengekspor kotak surat untuk eksfiltrasi,” tambah tim Microsoft 365.
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
DisagreeAgree
Connect withD
I allow to create an account
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
