A ESET descobriu um conjunto de famílias de malware, que não haviam sido documentados anteriormente, que são implementados como extensões maliciosas para o software de servidor web Internet Information Services (IIS). Visando servidores de e-mail do governo e sites que realizam transações de comércio eletrônico, bem como auxiliando na distribuição de malware, essa ameaça opera espionando e manipulando as comunicações do servidor.
Além de fornecer uma análise completa das famílias recentemente descobertas, o novo white paper, “Anatomia do malware nativo do IIS“, serve como um guia para ajudar a detectar, analisar e mitigar esses tipos de ameaças do lado do servidor.
O Internet Information Service, também conhecido pela sigla IIS, é o software para o servidor web do Microsoft Windows que possui uma arquitetura modular extensível. A ESET baseou sua pesquisa em módulos IIS nativos que são maliciosos, onde encontraram mais de 80 amostras exclusivas que foram ativamente usadas no contexto de uma campanha e as classificaram em 14 famílias de malware, 10 das quais não haviam sido documentadas anteriormente.
A ESET identificou os cinco mecanismos principais nos quais o malware IIS opera:
• Use contas dedicadas com senhas exclusivas e fortes para a administração do servidor IIS. Solicite autenticação multifator (MFA) para essas contas. Monitore o uso dessas contas;
• Instale periodicamente atualizações de segurança para o sistema operacional e analise cuidadosamente quais serviços são expostos à Internet para reduzir o risco de exploração do servidor;
• Considere o uso de um firewall de aplicativo da web e/ou solução de segurança de endpoint no servidor IIS;
• Módulos nativos para IIS têm acesso irrestrito a quaisquer recursos disponíveis para o processo de trabalho do servidor; apenas módulos IIS nativos de fontes confiáveis devem ser instalados para evitar o download de versões “trojanizadas”. Esteja especialmente atento aos módulos que prometem recursos muito bons para ser verdade, como aprimorar o SEO de forma mágica;
• Verifique regularmente a configuração do servidor IIS para verificar se todos os módulos nativos instalados são legítimos (assinados por um fornecedor confiável ou instalados propositalmente).
“Ainda é muito raro que softwares de segurança de endpoint (e outros) sejam usados em servidores IIS, tornando mais fácil para os invasores operarem sem serem detectados por longos períodos. Isso deve chamar a atenção de todos os portais da web que desejam proteger seus dados de visitantes, incluindo credenciais de autenticação e informações de pagamento”, disse Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisas da ESET América Latina.
