آلوده‌سازی کاربران از طریق هک سرورهای IIS

مهاجمان با هک سرورهای IIS و افزودن صفحات حاوی اعلان جعلی به آنها در حال آلوده‌سازی کاربران به بدافزار هستند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، جزییات این حملات مورد بررسی قرار گرفته است.

Internet Information Services – به اختصار IIS – نرم‌افزار وب سرور Microsoft Windows است که از نسخه 2000/XP به بعد در این سیستم‌عامل موجود است. 

اعلان‌های جعلی مذکور در قالب به‌روز‌‌رسانی گواهینامه (Certificate) کاربران را ترغیب به دریافت یک فایل مخرب و اجرای آن بر روی دستگاه قربانی می‌کنند. این فایل مخرب در نهایت منجر به اجرای TeamViewer بر روی دستگاه شده و کنترل سیستم مذکور را در اختیار مهاجمان قرار می‌دهد.

پیام جعلی نمایش داده شده حاوی متن زیر است که در آن درخصوص انقضای گواهینامه به کاربران هشدار داده می‌شود.

“Detected a potential security risk and has not extended the transition to [sitename]. Updating a security certificate may allow this connection to succeed. NET::ERR_CERT_OUT_OF_DATE.”

با کلیک بر روی دگمه Update (Recommended)، یک فایل اجرایی با نام HTTPS_browser_cert_09_2021.exe دانلود می‌شود.

 

 

این فایل طبق آمار سایت VirusTotal که در ادامه لینک آن نمایش داده شده ، توسط 33 ضدویروس از 67 ضدویروس به عنوان بدافزار تشخیص داده می‌شود.

 

 

فایل مذکور توسط گواهینامه Digicert، امضاء شده است.

کد مخرب منتقل شده بر روی سیستم‌های آلوده، TVRAT (که به نام‌‌های TVSPY ،TeamSpy ،TeamViewerENT یا Team Viewer RAT نیز معروف است) می‌باشد. TVRAT بدافزاری است که دسترسی کامل از راه دور به دستگاه‌های آلوده را برای اپراتورهای خود فراهم می‌کند.

در جریان این حملات، پس از بارگذاری TVRAT بر روی دستگاه آلوده، بدون اطلاع کاربر نسخه‌ای از نرم‌افزار کنترل از راه دور TeamViewer اجرا می‌شود. پس از راه‌اندازی، سرور TeamViewer به سرور کنترل و فرمان‌دهی (C2) متصل شده تا به مهاجمان اطلاع دهد که می‌توانند از راه دور کنترل کامل کامپیوتری که اخیراً آلوده شده را در دست گیرند.

TVRAT برای اولین بار در سال 2013 ظاهر شد و از طریق کارزارهای هرزنامه در قالب پیوست‌های ماکروی مخرب منتشر می‌شد.

 

 

در حالی که نحوه هک شدن سرورهای IIS توسط این مهاجمان هنوز مشخص نیست، روش‌های مختلفی را می‌توان برای نفوذ به آنها متصور بود.
به عنوان مثال، در ماه می یک نمونه کد بهره‌جو (Exploit) به صورت عمومی منتشر شد که با سوءاستفاده از یک آسیب‌پذیری حیاتی در HTTP Protocol Stack (HTTP.sys) امکان هدف قرار دادن سرور IIS را فراهم می‌کند. در این راستا مایکروسافت در ماه می، این ضعف امنیتی به شناسه CVE-2021-31166 را وصله کرد.

در گذشته نیز مهاجمان با پشتوانه دولتی، از ضعف‌های امنیتی مختلفی جهت آلوده‌سازی سرورهای IIS متصل به اینترنت استفاده می‌کردند.

جدیدترین مثال آن مربوط به یک گروه از گردانندگان تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) است که با عنوان Praying Mantis یا TG1021 نیز شناخته می‌شوند. این مهاجمان بر اساس گزارشی که ماه آگوست منتشر شده، سرورهای IIS را هدف قرار داده‌اند. مهاجمان مذکور در جریان حملات از ضعف‌های امنیتی زیر سوءاستفاده کردند.

  • Checkbox Survey RCE (CVE-2021-27852)
  • Telerik-UI (CVE-2019-18935, CVE-2017-11317)

به گفته محققان اپراتورهای پشت این حملات بدافزاری، سرورهای تحت Windows متصل به اینترنت را از طریق حملات Deserialization مورد هدف قرار دادند تا یک بدافزاری کاملاً سفارشی را در بستر IIS منتشر کنند. سپس مهاجمان Praying Mantis از دسترسی خود که به واسطه هک سرورهای IIS بدست آورده بودند برای انجام اقدامات مخرب دیگری از جمله جمع‌آوری رمزهای عبور، شناسایی سیستم‌های دیگر و گسترش دامنه نفوذ استفاده کردند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *