Llegamos a ustedes gracias a:



Alertas de Seguridad

Una oleada de malware nativo de IIS

Llega a los servidores de Windows

[12/08/2021] Los investigadores de seguridad advierten que múltiples grupos están comprometiendo los servidores web de Windows, y están desplegando programas maliciosos que están diseñados para funcionar como extensiones de Internet Information Services (IIS). Este tipo de malware fue desplegado este año por hackers que explotaban las vulnerabilidades de día cero de Microsoft Exchange, pero en los últimos años se han observado un total de 14 grupos que utilizan puertas traseras nativas de IIS y ladrones de información.

"El malware IIS es una clase diversa de amenazas utilizadas para el cibercrimen, el ciberespionaje y el fraude SEO, pero en todos los casos, su principal objetivo es interceptar las peticiones HTTP que llegan al servidor IIS comprometido, y afectar a la forma en que el servidor responde a (algunas de) estas peticiones", señalan los investigadores del proveedor de seguridad ESET en un informe reciente.

En total, la empresa ha observado más de 80 muestras de extensiones IIS maliciosas que pertenecen a 14 familias de malware distintas, diez de las cuales no estaban documentadas anteriormente.

Los múltiples usos del malware de IIS

El servidor web de Microsoft, conocido como IIS, admite módulos implementados como DLL (nativos) o escritos en .NET (gestionados). Dado que los módulos nativos son cargados por el proceso de trabajo de IIS, que se inicia automáticamente, no es necesario que los atacantes implementen ningún otro mecanismo de persistencia para su malware. Los módulos tienen acceso ilimitado a todos los recursos disponibles para el proceso trabajador, por lo que son muy potentes.

Los investigadores de ESET han visto extensiones IIS maliciosas que funcionan como:

  • Puertas traseras, que dan a los atacantes el control del servidor comprometido.
  • Infostealers, que interceptan el tráfico web habitual entre los usuarios y el servidor para robar credenciales de acceso, información de pago y otros datos sensibles.
  • Inyectores de tráfico, que modifican las respuestas HTTP para redirigir a los visitantes a contenidos maliciosos.
  • Proxies, para convertir los servidores comprometidos en repetidores de tráfico entre otros programas maliciosos y sus verdaderos servidores de mando y control.
  • Bots de fraude SEO, que modifican el contenido servido a los motores de búsqueda con el fin de aumentar artificialmente la clasificación en las SERP de otros sitios web.

Explotaciones del lado del servidor e ingeniería social

La instalación y configuración de módulos nativos de IIS requiere privilegios administrativos, por lo que para desplegar este tipo de malware los atacantes aprovechan las vulnerabilidades de los servidores que les proporcionan este nivel de acceso. "Entre marzo y junio del 2021, detectamos una ola de backdoors de IIS propagados a través de la cadena de vulnerabilidades RCE de pre autenticación de Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065), también conocida como ProxyLogon", dijeron los investigadores de ESET. "El objetivo específico eran los servidores Exchange que tienen habilitado Outlook en la web (también conocido como OWA) -como IIS se utiliza para implementar OWA, estos eran un objetivo particularmente interesante para el espionaje".

La firma antivirus detectó puertas traseras IIS que se desplegaron en esta campaña en servidores pertenecientes a instituciones gubernamentales de tres países del sudeste asiático, una importante empresa de telecomunicaciones de Camboya, una institución de investigación de Vietnam y decenas de empresas privadas de Estados Unidos, Canadá, Vietnam, India, Nueva Zelanda, Corea del Sur y otros países.

Las mismas vulnerabilidades de Exchange fueron utilizadas por el grupo de ciberespionaje Hafnium, al que el gobierno estadounidense vincula con el Ministerio de Seguridad del Estado (MSS) de China, para comprometer servidores pertenecientes a miles de organizaciones e infectarlos con web shell. Los ataques fueron tan graves y generalizados que el FBI obtuvo una inusual orden de registro e incautación que le permitió acceder activamente a los servidores hackeados y limpiar las infecciones.

Además del despliegue a través de la explotación de servidores, el malware IIS también se distribuye a través de la ingeniería social, ocultándolo como versiones troyanizadas de módulos IIS legítimos y confiando en que los administradores involuntarios los instalen, dijeron los investigadores.

Detección del malware IIS

A diferencia de otros programas maliciosos que llegan activamente a los servidores de comando y control para recibir instrucciones, el malware IIS tiene un canal de comunicación pasivo habilitado por el propio servidor web. Dado que se enganchan al proceso del trabajador, los atacantes pueden controlarlo enviando peticiones HTTP específicamente diseñadas al servidor web.

Los investigadores observaron que los atacantes enviaban comandos a las puertas traseras de IIS generando URLs específicas o cuerpos de peticiones que coincidían con expresiones regulares codificadas, enviando peticiones con cabeceras HTTP personalizadas o tokens específicos incrustados en la URL, el cuerpo de la petición o las cabeceras. Dicho esto, el malware de IIS que redirige a los visitantes a sitios web maliciosos o sirve contenido malicioso suele llegar a servidores remotos en tiempo real para obtener configuraciones.

Para prevenir y detectar el malware de IIS, los investigadores de ESET hacen las siguientes recomendaciones

  • Utilizar cuentas dedicadas con contraseñas fuertes y únicas para la administración del servidor IIS.   
  • Exigir la autenticación multifactor (MFA) para estas cuentas. Supervisar el uso de estas cuentas.
  • Parchee regularmente su sistema operativo y considere cuidadosamente qué servicios están expuestos a Internet para reducir el riesgo de explotación del servidor.
  • Considere la posibilidad de utilizar un firewall de aplicaciones web o una solución de seguridad para puntos finales en su servidor IIS.
  • Los módulos nativos de IIS tienen acceso ilimitado a cualquier recurso disponible para el proceso del trabajador del servidor, así que instale solo módulos nativos de IIS de fuentes de confianza para evitar la descarga de sus versiones troyanizadas. Tenga especial cuidado con los módulos que prometen funciones demasiado buenas para ser ciertas, como la mejora mágica del SEO.
  • Compruebe regularmente la configuración del servidor IIS para verificar que todos los módulos nativos instalados son legítimos (firmados por un proveedor de confianza o instalados a propósito).

Algunos programas maliciosos de IIS pueden ser transitorios y dejar pocos rastros. Los investigadores de la empresa de seguridad Sygnia informaron recientemente de que un actor de amenazas patrocinado por el Estado, apodado Praying Mantis, se basa en un marco de malware desarrollado para IIS y utiliza técnicas de carga reflexiva para cargar el malware directamente en la memoria del proceso trabajador de IIS. Este tipo de infecciones sólo viven en la memoria RAM y normalmente desaparecen si el proceso del servidor se reinicia, pero los servidores web rara vez se reinician porque están diseñados para tener tiempos de actividad estables. Praying Mantis despliega su malware aprovechando los fallos de deserialización de las aplicaciones ASP.NET.