NESABAMEDIA.COM – Microsoft mengatakan bahwa pelaku peretasan semakin banyak yang menggunakan ekstensi server web Internet Information Services (IIS) yang berbahaya ke server Exchange, yang tidak ditambal backdoor, karena mereka memiliki tingkat deteksi yang lebih rendah dibandingkan dengan web shell.
Karena mereka tersembunyi jauh di dalam server yang disusupi dan seringkali sangat sulit untuk dideteksi, serta menggunakan struktur yang sama dengan modul yang sah, layanan itu memberikan para pelaku peretasan mekanisme persistensi yang sempurna dan tahan lama.
“Dalam kebanyakan kasus, penggunaan metode backdoor sebenarnya sangat minim, dan tidak dapat dianggap berbahaya, tanpa adanya pemahaman yang lebih luas tentang cara kerja ekstensi IIS yang sah, yang juga mempersulit untuk menentukan sumber infeksi,” ungkap tim dari Microsoft 365.
Pelaku peretasan jarang menyebarkan ekstensi berbahaya semacam itu, utamanya setelah menyerang server menggunakan teknik eksploitasi untuk berbagai kelemahan keamanan yang belum ditambal di aplikasi yang dihosting. IIS biasanya digunakan setelah web shell digunakan sebagai muatan pertama dalam serangan tersebut. Modul IIS kemudian digunakan untuk memberikan akses yang lebih tersembunyi dan persisten (tahan pembaruan) ke server yang diretas.
Microsoft sebelumnya melihat backdoor IIS khusus dipasang setelah pelaku mengeksploitasi kerentanan ZOHO ManageEngine ADSelfService Plus dan SolarWinds Orion. Setelah penyebaran, modul IIS berbahaya memungkinkan pelaku untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan lebih banyak muatan.
Baru-baru ini, dalam sebuah kampanye serangan antara bulan Januari sampai Mei 2022 yang menargetkan server Microsoft Exchange, para pelaku menyebarkan ekstensi IIS berbahaya untuk mendapatkan akses ke kotak surat email korban, menjalankan perintah dari jarak jauh, dan mencuri kredensial dan data rahasia.
“Setelah beberapa saat melakukan pengintaian, membuang kredensial, dan membuat metode akses jarak jauh, pelaku memasang pintu belakang IIS khusus yang disebut FinanceSvcModel.dll di folder C:\inetpub\wwwroot\bin\. Backdoor memiliki kemampuan bawaan untuk melakukan operasi manajemen Exchange, seperti menghitung akun kotak surat yang dipasang dan mengekspor kotak surat untuk eksfiltrasi,” tambah tim Microsoft 365.
NEXT POSTS:
-
- 10 Rekomendasi Smartwatch Samsung Terbaik
- Tutorial Cara Mengirim Pesan Whatsapp Secara Terjadwal
- 10 Rekomendasi Aplikasi Pemutar Musik untuk PC / Laptop
- 4 Smartphone Snapdragon 888, Yang Bakal Jadi Pesaing Utama Xiaomi Mi 11
- Cara Menyembunyikan Kolom atau Baris di Microsoft Excel
- 8 Prinsip Dasar Dalam Mendesain User Interface yang Perlu Diketahui
- Fitur Utama Smartphone Sony Xperia 1 III Bocor di Twitter
Download berbagai jenis aplikasi terbaru, mulai dari aplikasi windows, android, driver dan sistem operasi secara gratis hanya di Nesabamedia.com:
Pernah menjadi jurnalis dan juga Social Media Manager di Merdeka.com selama lebih dari 2 tahun, sebelum akhirnya mengerjakan sejumlah proyek website yang dioptimasi dan dimonetisasi Google Adsense.
Kini sedang aktif dalam pembuatan konten Youtube dokumenter bertema sosial serta menjadi penulis konten untuk sejumlah website.