Web sunucularındaki gizli tehlikeye dikkat
Siber güvenlik şirketi ESET Araştırma Birimi, hükümetleri gizlice dinleyen ve e-ticaret işlemlerini hedef alan IIS (Internet Information Services) web sunucusu tehditleri keşfetti.
Web sunucuları, siber suç ve siber casusluk amacıyla hedefte
IIS kötü amaçlı yazılımının siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç kötü amaçlı yazılım ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanları tarafından detaylı bir şekilde incelendi. IIS kötü amaçlı yazılımları siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit türlerinden oluşuyor. Bu tehditlerin asıl amacı ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği yanıtı etkilemek. IIS web sunucuları, siber suçlular tarafından hedefe alınmakta.
ESET, IIS kötü amaçlı yazılımın çalıştığı beş ana mod belirledi:
- IIS arka kapıları sayesinden saldırganlar IIS kurulu sunucuları uzaktan kontrol edebiliyor.
- IIS infostealer’lar sayesinde saldırganlar ele geçirdikleri sunucu ile ziyaretçileri arasındaki trafiği engelleyebilir ve kimlik ve ödeme bilgileri gibi verileri çalabilir.
- IIS enjektörleri, kötü amaçlı içeriği yaymak üzere sitenin ziyaretçilerine gönderilen HTTP yanıtlarını değiştirir.
- IIS proxy’leri ele geçirilen sunucuyu başka zararlı yazılım ailelerini yönetmek için bir komuta kontrol sunucusu haline dönüştürebilir.
- SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama sonuçlarında üstte görüntülenmelerini sağlar.
- ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için geniş bir alan sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini ifade ederek şu bilgileri paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanımı halen çok az olduğundan, saldırganlar uzun süre fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme bilgileri dahil olmak üzere verilerini korumak isteyen tüm internet portalları tarafından bu durum dikkate alınmalıdır. Ayrıca web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için önemli bir hedef olabileceğinden bu konuda daha dikkatli olmalıdır”
- ESET Araştırma Birimi, IIS kötü amaçlı yazılım saldırılarını etkilerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
- IIS sunucularının yönetiminde benzersiz, sağlam şifreler ve çok faktörlü kimlik doğrulama kullanmalıdır
- İşletim sisteminin güncel olmasına dikkat edin
- İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik çözümü kullanın,
- Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını düzenli olarak kontrol edin
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.