ESET araลtฤฑrmacฤฑlarฤฑ, daha รถnce tespit edilmemiล, 10 adet kรถtรผ amaรงlฤฑ yazฤฑlฤฑm ailesinden oluลan bir set keลfetti. Bu set, IIS (Internet Information Services) web sunucusu yazฤฑlฤฑmฤฑ iรงin kullanฤฑlan kรถtรผ amaรงlฤฑ uzantฤฑlardan oluลuyor. Kรถtรผ amaรงlฤฑ yazฤฑlฤฑm hรผkรผmetlerin posta kutularฤฑnฤฑ ve e-ticaret kanalฤฑnda kredi kartฤฑ iลlemlerini hedef alฤฑyor. Baลka kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlarฤฑn daฤฤฑtฤฑmฤฑna da katkฤฑda bulunuyor ve gizlice dinlemeyi ve sunucu iletiลimlerine zarar vermeyi amaรงlฤฑyor. ESET telemetrisine ve ESET araลtฤฑrmacฤฑlarฤฑnฤฑn bu arka kapฤฑlarฤฑn varlฤฑฤฤฑnฤฑ algฤฑlamak iรงin gerรงekleลtirdiฤi internet genelindeki ek taramalarฤฑn sonuรงlarฤฑna gรถre bu IIS arka kapฤฑlardan en az beลi, 2021 yฤฑlฤฑnda Microsoft Exhange e-posta sunucularฤฑnda ortaya รงฤฑkan aรงฤฑklar aracฤฑlฤฑฤฤฑ ile yayฤฑlฤฑyor.
Web sunucularฤฑ, siber suรง ve siber casusluk amacฤฑyla hedefte
IIS kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑnฤฑn siber suรง, siber casusluk ve arama motoru optimizasyonu dolandฤฑrฤฑcฤฑlฤฑฤฤฑnda nasฤฑl kullanฤฑldฤฑฤฤฑnฤฑ gรถstermek รผzere รผรง kรถtรผ amaรงlฤฑ yazฤฑlฤฑm ailesi (IIStealer, IISpy ve IISerpent) ESET uzmanlarฤฑ tarafฤฑndan detaylฤฑ bir ลekilde incelendi. IIS kรถtรผ amaรงlฤฑ yazฤฑlฤฑmlarฤฑ siber suรง, siber casusluk ve arama motoru optimizasyonu dolandฤฑrฤฑcฤฑlฤฑฤฤฑnda kullanฤฑlan รงeลitli tehdit tรผrlerinden oluลuyor. Bu tehditlerin asฤฑl amacฤฑ ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geรงirmek ve bu taleplere (bazฤฑlarฤฑna) sunucunun verdiฤi yanฤฑtฤฑ etkilemek. IIS web sunucularฤฑ, siber suรง ve siber casusluk amacฤฑyla รงeลitli kรถtรผ amaรงlฤฑ aktรถrler tarafฤฑndan hedef alฤฑnฤฑyor.
ESET, IIS kรถtรผ amaรงlฤฑ yazฤฑlฤฑmฤฑn รงalฤฑลtฤฑฤฤฑ beล ana mod belirledi:
- IIS arka kapฤฑlarฤฑ sayesinden saldฤฑrganlar IIS kurulu sunucularฤฑ uzaktan kontrol edebiliyor.
- IIS infostealerโlar sayesinde saldฤฑrganlar ele geรงirdikleri sunucu ile ziyaretรงileri arasฤฑndaki trafiฤi engelleyebilir ve kimlik ve รถdeme bilgileri gibi verileri รงalabilir.
- IIS enjektรถrleri, kรถtรผ amaรงlฤฑ iรงeriฤi yaymak รผzere sitenin ziyaretรงilerine gรถnderilen HTTP yanฤฑtlarฤฑnฤฑ deฤiลtirir.
- IIS proxyโleri ele geรงirilen sunucuyu baลka zararlฤฑ yazฤฑlฤฑm ailelerini yรถnetmek iรงin bir komuta kontrol sunucusu haline dรถnรผลtรผrebilir.
- SEO iรงin IIS zararlฤฑsฤฑ, SERP algoritmalarฤฑnฤฑ manipรผle etmek iรงin arama motorlarฤฑna gรถnderilen iรงeriฤi deฤiลtirir ve saldฤฑrganlarฤฑn istedikleri sitelerin arama sonuรงlarฤฑnda รผstte gรถrรผntรผlenmelerini saฤlar.
ESET araลtฤฑrmacฤฑsฤฑ Zuzana Hromcovรก yazฤฑlฤฑmฤฑn web geliลtiricileri iรงin geniลletilebilirlik saฤlamak รผzere tasarlanan modรผler mimarisinin, saldฤฑrganlar iรงin yararlฤฑ bir araรง olabileceฤini ifade ederek ลu bilgileri paylaลtฤฑ: โIIS sunucularฤฑnda gรผvenlik yazฤฑlฤฑmlarฤฑnฤฑn kullanฤฑmฤฑ halen รงok az olduฤundan, saldฤฑrganlar uzun sรผre fark edilmeden รงalฤฑลmaya devam edebiliyor. Ziyaretรงilerinin doฤrulama ve รถdeme bilgileri dahil olmak รผzere verilerini korumak isteyen tรผm internet portallarฤฑ tarafฤฑndan bu durum dikkate alฤฑnmalฤฑdฤฑr. Ayrฤฑca web รผzerinden Outlook kullanan kuruluลlar, OWA IISโe baฤlฤฑ olduฤundan ve casusluk iรงin รถnemli bir hedef olabileceฤinden bu konuda daha dikkatli olmalฤฑdฤฑrโ
ESET Araลtฤฑrma Birimi, IIS kรถtรผ amaรงlฤฑ yazฤฑlฤฑm saldฤฑrฤฑlarฤฑnฤฑ etkilerini azaltmada yardฤฑmcฤฑ olabilecek ลu tavsiyelerde bulundu.
- IIS sunucularฤฑnฤฑn yรถnetiminde benzersiz, saฤlam ลifreler ve รงok faktรถrlรผ kimlik doฤrulama kullanmalฤฑdฤฑr
- ฤฐลletim sisteminin gรผncel olmasฤฑna dikkat edin
- ฤฐnternet uygulamalarฤฑ iรงin gรผvenlik duvarฤฑ ve sunucu iรงin uรง nokta gรผvenlik รงรถzรผmรผ kullanฤฑn,
- Kurulan tรผm uzantฤฑlarฤฑn yasal olduฤunu doฤrulamak รผzere IIS sunucu yapฤฑlandฤฑrmasฤฑnฤฑ dรผzenli olarak kontrol edin
