引言
研究人员发现了一组新型木马程序并将其命名为IIStealer。IIStealer是通过Microsoft 的 Web 服务器软件 Internet Information Services (IIS) 的恶意扩展实现的。作为服务器的一部分,IIStealer 能够访问服务器的所有网络通信并窃取攻击者感兴趣的数据,例如电子商务网站客户的支付信息。
简况
IIStealer通过拦截受感染服务器与其客户端(卖家和买家)之间的常规流量来运行,每当网站的合法访问者在支付页面上发出请求时,IIStealer 就会在日志文件中记录 HTTP 请求的主体,而不会干扰合法组件生成的 HTTP 响应。然后,攻击者可以通过向受感染的 IIS 服务器发出特殊的 HTTP 请求来窃取收集的数据。IIStealer窃取访问者数据的机制如下:
IIStealer 可以窃取在不使用第三方支付网关的电子商务网站上输入的信用卡详细信息。恶意软件可以访问服务器处理的所有信息,因此SSL/TLS和加密的通信通道并不能保护这些交易免受 IIStealer 的攻击。研究人员分析的恶意软件样本似乎是为特定的电子商务网站设计的。根据遥测,2020 年 9 月至 2021 年 1 月期间,该木马的目标是美国的少量 IIS 服务器。
建议:研究人员建议用户可通过以下方法抵御此类威胁:
1.使用具有唯一且强密码的专用帐户进行 IIS 服务器管理。
2.定期更新操作系统,并仔细检查哪些服务暴露在 Internet 上,以降低服务器被利用的风险。
3.仅从受信任的来源为 IIS 安装本机模块。
4.考虑在 IIS 服务器上使用 Web 应用程序防火墙或端点安全解决方案。
5.定期检查配置文件,以验证所有安装的原生模块都是合法的(由受信任的供应商签名或故意安装)。
稿源:安恒威胁情报中心
