Cyberangriff auf Internet Information Services von Microsoft
Zu Beginn des Jahres haben Hacker die Internet Information Services von Microsoft ausgenutzt. Bisher konnten ESET-Forschende zehn noch unbekannte Malware-Familien analysieren, die als bösartige Erweiterungen für die IIS-Webserver genutzt wurden könnten.
Zu Beginn des Jahres missbrauchten Hacker die Internet Information Services (IIS) von Microsoft. Es handelt sich bei den IIS um einen in Windows integrierten Dienst, deralle Funktionen eines Webservers bereitstellt. Damit können Websites gehostet, Webanwendungen verfügbar gemacht und Medien gestreamt werden. Wie ESET nun mitteilt, analysierten Forschende insgesamt zehn bisher noch unbekannte Malware-Familien analysiert, die als bösartige Erweiterungen für die IIS-Webserver genutzt wurden könnten. Mit einem solchen IIS-Angriff seien Cyberkriminelle in der Lage, die Kommunikation der Server abzuhören und zu manipulieren, erklärt ESET. Sie hätten es dabei auf Mailboxen von Behörden und Kreditkarteninformationen von E-Commerce abgesehen.
Es sei nach wie vor selten, dass Sicherheitssoftware auf IIS-Servern laufe, sagt Zuzana Hromcová, ESET-Forscherin und Autorin des zum Thema veröffentlichten Whitepapers. So könnten Angreifer über lange Zeiträume unbemerkt operieren. "Die Internet-Information-Services-Webserver sind ein beliebtes Ziel für Hacker, sowohl um Schäden anzurichten als auch die Opfer auszuspionieren. Die modulare Architektur der Software bietet Webentwicklern diverse Erweiterungsmöglichkeiten, ist aber auch ein nützliches Werkzeug für Angreifer", sagt Hromcová weiter.
ESET identifizierte gemäss Mitteilung fünf Hauptverwendungszwecke, in denen IIS-Malware hauptsächlich operiere:
IIS-Backdoors: Die Angreifenden fernsteuern die kompromittierten Computer mit installiertem IIS.
IIS-Infostealer: Die Angreifenden können den regulären Datenverkehr zwischen dem infizierten Server und seinen legitimen Besuchenden abfangen und Informationen wie Anmeldedaten oder Zahlungsinformationen stehlen.
IIS-Injektors: Die Injektors ändern http-Antworten, die an legitime Besucher gesendet werden, um schädliche Inhalte zu liefern.
IIS-Proxys: Diese machen den kompomittierten Server unwissentlich zu einem Teil der Command- und Control-Infrastruktur für eine andere Malware-Familie.
IIS-Malware: Die Malware verändert den Inhalt, der Suchmaschinen zur Verfügung gestellt wird, um Suchanfragen zu manipulieren. Zusätzlich wird dabei das SEO-Ranking für andere Websites, die für die Angreifer von Interesse sind, verbessert.
Malware scheint es besonders auf Microsoft abgesehen zu haben. Wie Cyberkriminelle sich als Microsoft Upgrade ausgeben, können Sie hier nachlesen.