Microsoft ออกมาแจ้งเตือนเรื่องการพบผู้ไม่หวังดีได้หันมาใช้ Malicious IIS Extension สำหรับสร้าง Backdoor บน Exchange Server มากขึ้นเรื่อย ๆ เนื่องจากมีโอกาสในการถูกตรวจจับได้น้อยกว่าแบบ Web Shells สาเหตุหลัก ๆ คือ IIS เป็นฟีเจอร์ที่มีอยู่บน Server อยู่แล้ว ทำให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบได้อย่างสมบูรณ์แบบ
ลักษณะการทำงาน
- หลังจาก IIS Extension ถูกติดตั้งลงไปแล้ว ผู้โจมตีจะใช้มันเป็นช่องทางสำหรับการหาช่องโหว่ด้านความปลอดภัยต่าง ๆ บนระบบเครือข่ายของเหยื่อ
- IIS Extension จะทำงานหลังจาก web shell ถูกใช้งานเป็นเพย์โหลดแรกในการโจมตี โมดูล IIS จะถูกปรับค่าให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ถูกแฮ็กได้มากขึ้น และแฝงตัวอยู่บนระบบให้ผู้โจมตีสามารถกลับมาควบคุมเครื่องเหยื่อได้อย่างต่อเนื่อง
- หลังจากโมดูล IIS ถูกปรับค่าใหม่ มันจะช่วยให้ผู้โจมตีสามารถเก็บรวบรวมข้อมูลสำคัญจากหน่วยความจำของระบบ รวบรวมข้อมูลจากเครือข่ายของเป้าหมาย และเซิร์ฟเวอร์ที่ถูกโจมตี
- หลังจากรวบรวมข้อมูลส่วนตัว และเปิดช่องทางการเข้าถึงจากภายนอกแล้ว ผู้โจมตีจะทำการติดตั้ง Backdoor IIS ที่ชื่อว่า FinanceSvcModel.dll ในโฟลเดอร์ C:\inetpub\wwwroot\bin\ ซึ่ง Backdoor มีความสามารถในการจัดการ Exchange Server เช่น การจัดการ และ Export Mailbox ต่าง ๆ
แนวทางการป้องกัน
- อัปเดตแพตซ์เซิร์ฟเวอร์ Exchange ให้เป็นปัจจุบัน
- เปิดใช้งาน Anti-Malware และ Security Solution
- รีวิวสิทธิ์ของผู้ใช้งานอยู่เสมอ
- จำกัดการเข้าถึงไดเรกทอรีของ IIS
ที่มา : bleepingcomputer
You must be logged in to post a comment.