首页保安为什么黑客会闯入 Windows IIS 服务器?

为什么黑客会闯入 Windows IIS 服务器?

恶意用户侵入 Windows IIS 服务器添加过期证书通知页面,敦促访问者下载恶意的虚假安装程序。

视窗IIS

另见: FBI 和 CISA:黑客利用了一个严重的 Zoho 漏洞

Internet 信息服务 (IIS) 是一种 Microsoft Windows Web 服务器软件,它包含在从 Windows 2000、XP 和 Server 2003 开始​​的所有 Windows 版本中。

恶意证书过期错误页面上显示的消息指出:“已检测到潜在的安全风险,但并未将转换扩展到 [站点名称]。 更新安全证书可以使此连接成功。 NET :: ERR_CERT_OUT_OF_DATE。”

正如 Malwarebytes 威胁情报安全研究人员所观察到的,通过虚假更新安装程序 (VirusTotal) 安装的恶意软件使用 Digicert 证书进行签名。

落在受感染系统上的有效载荷是 TVRAT(也称为 TVSPY、TeamSpy、TeamViewerENT 或 Team Viewer RAT),这是一种旨在为其操作员提供对受感染主机的完全远程访问权限的恶意软件。

一旦部署在受感染的设备上,恶意软件将静默安装并启动 TeamViewer 远程控制软件实例。

启动后, TeamViewer 服务器 将联系命令和控制 (C2) 服务器,通知攻击者他们可以远程完全控制新的受感染计算机。

TVRAT 于 2013 年首次出现,当时它是通过垃圾邮件活动传播的,其中恶意附件诱使目标激活 Office 宏。

另见: 黑客旨在将受害者连接到互联网

IIS 服务器:易受攻击

虽然攻击者用于入侵 IIS 服务器的方法尚不清楚,但攻击者可以使用各种方法来入侵 Windows IIS 服务器。

例如,自 XNUMX 月以来,针对 Windows IIS Web 服务器使用的 HTTP 协议栈 (HTTP.sys) 中发现的关键漏洞的利用代码已公开可用。

微软在补丁 2021 月星期二修复了安全漏洞(标识为 CVE-31166-10),并表示它只影响 Windows 2004 20 / 2H2004 和 Windows Server 20 / 2HXNUMX。

从那时起就没有再检测到恶意活动,正如当时报道的那样,最有可能的目标很可能不会受到攻击,因为使用最新版本的 Windows 10 的家庭用户会得到更新,公司通常不会使用它们。窗口服务器。

另见: 导致中风的黑客说,他“为了好玩”偷了 600 亿加密货币!

但是,国家资助的威胁过去曾使用各种其他漏洞来破坏面向 IIS 互联网的服务器。

信息来源:bleepingcomputer.com

实时新闻