• Our Partners:

Server Microsoft Exchange Semakin Gencar Diserang Backdoor IIS

Server Microsoft Exchange Semakin Gencar Diserang Backdoor IIS

NESABAMEDIA.COMMicrosoft mengatakan bahwa pelaku peretasan semakin banyak yang menggunakan ekstensi server web Internet Information Services (IIS) yang berbahaya ke server Exchange, yang tidak ditambal backdoor, karena mereka memiliki tingkat deteksi yang lebih rendah dibandingkan dengan web shell. 

Karena mereka tersembunyi jauh di dalam server yang disusupi dan seringkali sangat sulit untuk dideteksi, serta menggunakan struktur yang sama dengan modul yang sah, layanan itu memberikan para pelaku peretasan mekanisme persistensi yang sempurna dan tahan lama. 

“Dalam kebanyakan kasus, penggunaan metode backdoor sebenarnya sangat minim, dan tidak dapat dianggap berbahaya, tanpa adanya pemahaman yang lebih luas tentang cara kerja ekstensi IIS yang sah, yang juga mempersulit untuk menentukan sumber infeksi,” ungkap tim dari Microsoft 365

Pelaku peretasan jarang menyebarkan ekstensi berbahaya semacam itu, utamanya setelah menyerang server menggunakan teknik eksploitasi untuk berbagai kelemahan keamanan yang belum ditambal di aplikasi yang dihosting. IIS biasanya digunakan setelah web shell digunakan sebagai muatan pertama dalam serangan tersebut. Modul IIS kemudian digunakan untuk memberikan akses yang lebih tersembunyi dan persisten (tahan pembaruan) ke server yang diretas.

Microsoft sebelumnya melihat backdoor IIS khusus dipasang setelah pelaku mengeksploitasi kerentanan ZOHO ManageEngine ADSelfService Plus dan SolarWinds Orion. Setelah penyebaran, modul IIS berbahaya memungkinkan pelaku untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan lebih banyak muatan.

Baru-baru ini, dalam sebuah kampanye serangan antara bulan Januari sampai Mei 2022 yang menargetkan server Microsoft Exchange, para pelaku menyebarkan ekstensi IIS berbahaya untuk mendapatkan akses ke kotak surat email korban, menjalankan perintah dari jarak jauh, dan mencuri kredensial dan data rahasia. 

“Setelah beberapa saat melakukan pengintaian, membuang kredensial, dan membuat metode akses jarak jauh, pelaku memasang pintu belakang IIS khusus yang disebut FinanceSvcModel.dll di folder C:\inetpub\wwwroot\bin\. Backdoor memiliki kemampuan bawaan untuk melakukan operasi manajemen Exchange, seperti menghitung akun kotak surat yang dipasang dan mengekspor kotak surat untuk eksfiltrasi,” tambah tim Microsoft 365.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
Send this to a friend