Site icon Soluxions Magazine

Nouvelles menaces contre les serveurs web IIS

Les chercheurs d’ESET ont découvert un ensemble de 10 familles de logiciels malveillants jusqu’alors non documentées, implémentées sous forme d’extensions malveillantes pour le logiciel de serveur web Internet Information Services (IIS).

Nouvelles menaces contre les serveurs web IIS

Nouvelles menaces contre les serveurs web IIS

Août 16, 2021 | Cyber Security | 0 commentaires

De plus en plus de menaces contre les serveurs web ISS à des fins de cybercriminalité, de cyber-espionnage et de fraude au SEO.

Les chercheurs d’ESET ont découvert un ensemble de 10 familles de logiciels malveillants jusqu’alors non documentées, implémentées sous forme d’extensions malveillantes pour le logiciel de serveur web IIS (Internet Information Services).

Ciblant à la fois les boîtes mail des administrations publiques et les transactions de commerce électronique par carte bancaire, et diffusant des malwares, cette catégorie de menaces diversifiée espionne et altère les communications des serveurs. Au moins cinq portes dérobées IIS se sont répandues via le détournement de serveurs de messagerie Microsoft Exchange en 2021, selon la télémétrie d’ESET et les résultats d’analyses supplémentaires effectuées sur Internet par les chercheurs d’ESET pour détecter la présence de ces portes dérobées.

Un livre blanc sur les menaces

ESET -distribué en Belgique et au Luxembourg par MGK Technologies–  a publié le livre blanc «Anatomy of native IIS malware» ainsi qu’une série d’articles sur les menaces les plus notables parmi celles nouvellement découvertes : IIStealer, IISpy et IISerpent. Ces éléments sont disponibles en ligne sur WeLiveSecurity. Les résultats des études d’ESET sur les malwares IIS ont été présentés pour la première fois lors de la conférence Black Hat USA 2021.

Ces multiples malwares IIS sont utilisées à des fins de cybercriminalité, de cyberespionnage et de fraude au SEO, mais dans tous les cas, leur objectif principal est d’intercepter les requêtes HTTP entrantes dans le serveur IIS compromis, et d’affecter la manière dont le serveur répond à (certaines de) ces requêtes. «Les serveurs web IIS ont été ciblés par différents acteurs malveillants, tant pour des campagnes de cybercriminalité que de cyberespionnage, explique Zuzana Hromcová, chercheuse d’ESET et auteure de l’article. L’architecture modulaire du logiciel, conçue pour offrir une extensibilité aux développeurs web, peut être un outil utile pour les pirates

Cinq modes opératoires

ESET a identifié cinq modes opératoires principaux des malwares IIS. 
• Les portes dérobées IIS permettent à leurs opérateurs de contrôler à distance la machine compromise sur laquelle est installé IIS. 
• Les codes voleurs d’informations IIS permettent à leurs opérateurs d’intercepter le trafic échangé entre le serveur compromis et ses visiteurs légitimes, et voler des informations telles que les identifiants de connexion et les informations de paiement. 
• Les injecteurs IIS modifient les réponses HTTP envoyées aux visiteurs légitimes pour servir du contenu malveillant. 
• Les proxys IIS transforment le serveur compromis en élément de l’infrastructure de commande et de contrôle d’une autre famille de malwares (C&C). 
• Les malwares IIS de fraude au SEO modifient le contenu transmis aux moteurs de recherche afin de manipuler les algorithmes SERP et améliorer le classement d’autres sites web présentant un intérêt pour les pirates.

«Il est encore assez rare d’utiliser des logiciels de sécurité sur les serveurs IIS, poursuit Zuzana Hromcová. Ce qui permet aux pirates de passer inaperçus pendant de longues périodes. Cela devrait être un sujet d’inquiétude pour tous les portails web sérieux qui souhaitent protéger les données de leurs utilisateurs, y compris les informations d’authentification et de paiement. Les entreprises qui utilisent Outlook sur le web devraient également s’intéresser au problème, car il dépend d’IIS et pourrait être une cible intéressante à des fins d’espionnage.»

Des recommandations

ESET Research propose plusieurs recommandations pour atténuer les attaques de malwares IIS. Il s’agit notamment d’utiliser des mots de passe uniques et forts, et une authentification multifacteur pour l’administration des serveurs IIS. Egalement de maintenir le système d’exploitation à jour. D’utiliser un pare-feu pour applications web et une solution de sécurité pour endpoints sur le serveur. Et, enfin, de contrôler régulièrement la configuration du serveur IIS pour vérifier que toutes les extensions installées soient légitimes.

En parallèle du livre blanc, ESET a publié des articles plus courts tirés du document.

  • Anatomy of native IIS malware -un livre blanc complet publié avec un article récapitulatif.
    • IIStealer : A server-side threat to e-commerce transactions (6 août, 17h CEST) -un article examinant une extension IIS malveillante (cheval de Troie) qui intercepte les transactions du serveur pour voler des informations sur les cartes de paiement.
    • IISpy : A complex server-side backdoor with anti-forensic features (9 août, 11h30 CEST) -un article sur une extension IIS malveillante (porte dérobée) capable d’espionner les serveurs compromis. 
    • IISerpent : Malware-driven SEO fraud as a service (11 août, 11h30 CEST) -un article décrivant une extension malveillante (cheval de Troie côté serveur) utilisée pour manipuler le classement des pages de sites web tiers.

Pour plus de détails techniques sur ces menaces IIS, lisez l’article de présentation «Anatomy of native IIS malware » et le livre blanc sur WeLiveSecurity, ainsi que les articles sur les malwares suivants : IIStealer, IISpy et IISerpent.

 

Quitter la version mobile