Los actores de amenazas abusan cada vez más de las extensiones de Internet Information Services (IIS) para servidores de puerta trasera como un medio para establecer un «mecanismo de persistencia duradero».
Eso es según un nueva advertencia del equipo de investigación de Microsoft 365 Defender, que dijo que «las puertas traseras de IIS también son más difíciles de detectar, ya que en su mayoría residen en los mismos directorios que los módulos legítimos utilizados por las aplicaciones de destino, y siguen la misma estructura de código que los módulos limpios».
Las cadenas de ataque que adoptan este enfoque comienzan con armar una vulnerabilidad crítica en la aplicación alojada para el acceso inicial, utilizando este punto de apoyo para colocar un script web shell como la carga útil de la primera etapa.
Este shell web luego se convierte en el conducto para instalar un módulo IIS no autorizado para proporcionar un acceso altamente encubierto y persistente al servidor, además de monitorear las solicitudes entrantes y salientes, así como ejecutar comandos remotos.
De hecho, a principios de este mes, los investigadores de Kaspersky revelaron una campaña realizada por el grupo Gelsemium, que se aprovechó de las fallas de ProxyLogon Exchange Server para lanzar una pieza de malware IIS llamada SessionManager.
En otra serie de ataques observados por el gigante tecnológico entre enero y mayo de 2022, los servidores de Exchange fueron atacados con shells web por medio de un exploit para las fallas de ProxyShell, lo que finalmente condujo a la implementación de una puerta trasera llamada «FinanceSvcModel.dll», pero no antes de un período de reconocimiento.
«La puerta trasera tenía una capacidad integrada para realizar operaciones de gestión de Exchange, como enumerar las cuentas de buzón de correo instaladas y exportar buzones de correo para exfiltración», explicó el investigador de seguridad Hardik Suri.
Para mitigar tales ataques, se recomienda aplicar las últimas actualizaciones de seguridad para los componentes del servidor lo antes posible, mantener antivirus y otras protecciones habilitadas, revisar roles y grupos confidenciales y restringir el acceso practicando el principio de privilegio mínimo y manteniendo una buena higiene de credenciales. .