Get in Touch

Melindungi Server Microsoft IIS Anda dari Serangan Malware

Layanan Informasi Internet Microsoft (IIS) adalah paket perangkat lunak server web yang dirancang untuk Windows Server. Organisasi biasanya menggunakan server Microsoft IIS untuk menghosting situs web, file, dan konten lainnya di web. Pelaku ancaman semakin menargetkan sumber daya yang ada di Internet sebagai upaya untuk menemukan dan mengeksploitasi kerentanan yang memfasilitasi akses ke lingkungan TI.

Baru-baru ini, serangkaian aktivitas kelompok ancaman persisten tingkat lanjut (APT) Lazarus berfokus pada menemukan server Microsoft IIS yang rentan dan menginfeksinya dengan malware atau menggunakannya untuk mendistribusikan kode berbahaya. Artikel ini menjelaskan detail serangan malware dan menawarkan saran yang dapat ditindaklanjuti untuk melindungi server Microsoft IIS dari serangan tersebut.

Ikhtisar tentang Server Microsoft IIS

IIS pertama kali diperkenalkan dengan Windows NT 3.51 sebagai paket opsional pada tahun 1995. Sejak itu, IIS telah melihat beberapa iterasi, perbaikan, dan fitur yang ditambahkan untuk menyelaraskan dengan perkembangan Internet, termasuk dukungan untuk permintaan HTTPS (Secure HTTP). Selain sebagai server web dan melayani permintaan HTTP dan HTTPS, Microsoft IIS juga dilengkapi dengan server FTP untuk transfer file dan server SMTP untuk layanan email.

Microsoft IIS terintegrasi erat dengan .NET Framework perusahaan yang populer, yang membuatnya sangat cocok untuk menghosting aplikasi web ASP.NET. Perusahaan menggunakan ASP.NET untuk membangun situs web dinamis atau aplikasi web yang berinteraksi dengan database. Aplikasi ini, dibuat dengan ASP.NET dan berjalan di Microsoft IIS, menawarkan skalabilitas, kinerja, dan kompatibilitas luar biasa dengan ekosistem Microsoft.

Meskipun kurang populer dibandingkan paket server web seperti Nginx atau Apache, Microsoft IIS tetap digunakan di 5,4% dari semua situs web yang server webnya dikenal. Beberapa pengguna Microsoft IIS yang terkenal adalah Accenture, Alibaba Travels, Mastercard, dan Intuit.

Serangan Lazarus pada Server Microsoft IIS

Lazarus adalah kelompok spionase dunia maya dan kejahatan dunia maya Korea Utara yang baru-baru ini diamati mengeksploitasi kerentanan spesifik Microsoft IIS. Geng tersebut sebelumnya melakukan beberapa serangan siber paling terkenal dalam sejarah, termasuk insiden ransomware WannaCry pada tahun 2017 dan pencurian mata uang virtual senilai $100 juta pada Juni 2022.

Meskipun Microsoft IIS memiliki fitur keamanan bawaan, penting untuk selalu memperbaruinya. Secara historis, penyerang telah mengeksploitasi server IIS yang rentan dan tidak menerapkan patch terbaru. Rentetan serangan terbaru yang dilakukan Lazarus mencerminkan pola ini, dengan beberapa kerumitan tambahan lainnya.

Putaran Awal Aktivitas Berbahaya

Investigasi pada bulan Mei 2023 yang dilakukan oleh perusahaan keamanan siber Korea Selatan ASEC mengonfirmasi pelaku ancaman Lazarus secara aktif memindai dan mengeksploitasi server Microsoft IIS yang rentan. Aktivitas awal berpusat pada teknik pemuatan samping DLL yang mengeksploitasi server yang rentan untuk mengeksekusi kode arbitrer. Serangan pemuatan samping DLL bekerja dengan memanfaatkan cara proses server web IIS, w3wp.exe, memuat pustaka tautan dinamis (DLL).

Dengan memanipulasi proses ini, pelaku Lazarus memasukkan malware ke dalam server yang rentan. Setelah dimuat, DLL mengeksekusi file portabel dalam ruang memori server. File ini adalah pintu belakang yang berkomunikasi dengan server komando dan kontrol (C2) geng.

Pada catatan khusus, untuk tim keamanan adalah bahwa kerentanan yang ditargetkan dalam serangan ini untuk pelanggaran awal biasanya dipindai dan kerentanan profil tinggi yang mencakup Log4Shell, kerentanan dalam solusi VoIP desktop 3CX, dan kerentanan eksekusi kode jarak jauh di digital solusi sertifikat MagicLine4NX.

Serangan Lebih Lanjut Menggunakan Server IIS untuk Mendistribusikan Malware

Serangan malware selanjutnya yang melibatkan server Microsoft IIS menargetkan perangkat lunak pemeriksa keamanan dan integritas finansial, INISAFE CrossWeb EX. Program yang dikembangkan oleh Initech ini rentan terhadap injeksi kode mulai dari versi 3.3.2.41 atau lebih lama.

Penelitian menemukan 47 perusahaan terkena malware yang berasal dari menjalankan versi rentan dari proses perangkat lunak Initech, inisafecrosswebexsvc.exe. Versi CrossWeb EX yang rentan memuat DLL berbahaya, SCSKAppLink.dll. DLL berbahaya ini kemudian mengambil muatan berbahaya selanjutnya, dan hal yang menarik adalah bahwa URL untuk muatan tersebut mengarah ke server Microsoft IIS.

Semua ini menambah kesimpulan bahwa pelaku Lazarus tidak hanya mengeksploitasi kerentanan umum untuk menyusupi server Microsoft IIS (seperti pada bagian sebelumnya), namun mereka kemudian mendukung kepercayaan yang diberikan sebagian besar sistem pada server aplikasi ini untuk mendistribusikan malware. melalui server IIS yang dikompromikan.

Cara Melindungi Server Microsoft IIS Anda

Kompleksitas teknis dan seluk-beluk serangan Lazarus ini dapat mengaburkan sifat mendasar bagaimana serangan tersebut dapat terjadi. Selalu ada titik pelanggaran awal, dan mengejutkan betapa seringnya titik pelanggaran ini disebabkan oleh manajemen patch yang tidak efektif.

Misalnya, nasihat CISA pada bulan Maret 2023 menjelaskan pelanggaran serupa terhadap server Microsoft IIS pemerintah AS yang muncul ketika peretas mengeksploitasi kerentanan yang patchnya telah tersedia sejak tahun 2020. Kerentanan tersebut, dalam hal ini, terjadi pada server yang menjalankan Progress Telerik, sebuah kumpulan kerangka kerja UI (Antarmuka Pengguna) dan alat pengembangan aplikasi.

Jadi, inilah yang dapat Anda lakukan untuk melindungi server Microsoft IIS yang berjalan di lingkungan Anda:

  • Menerapkan manajemen patch yang efektif yang menjaga perangkat lunak tetap mutakhir dengan versi dan patch terbaru, idealnya menggunakan beberapa bentuk otomatisasi.
  • Gunakan solusi manajemen patch yang secara akurat dan komprehensif melakukan inventarisasi semua perangkat lunak yang berjalan di lingkungan TI Anda untuk menghindari patch atau pembaruan yang terlewat dari apa yang disebut TI bayangan.
  • Gunakan prinsip hak istimewa paling rendah untuk akun layanan sehingga layanan apa pun di server Microsoft IIS Anda hanya berjalan dengan izin minimum yang diperlukan.
  • Analisis log keamanan jaringan dari sistem seperti sistem deteksi intrusi, firewall, alat pencegahan kehilangan data, dan jaringan pribadi virtual. Selain itu, analisis log dari server Microsoft IIS dan cari pesan kesalahan tak terduga yang menunjukkan upaya untuk berpindah ke samping atau menulis file ke direktori tambahan.
  • Perkuat titik akhir pengguna dengan deteksi titik akhir khusus dan alat respons yang dapat mendeteksi serangan tingkat lanjut dan teknik pengelakan yang menjadi fokus para aktor Lazarus.
  • Verifikasi fungsionalitas patch setelah menerapkannya karena terkadang patch mungkin tidak diinstal dengan benar karena berbagai alasan, seperti masalah kompatibilitas sistem, gangguan selama instalasi, atau konflik perangkat lunak.

    • Terakhir, sempurnakan pendekatan Anda terhadap manajemen kerentanan melalui pengujian keamanan aplikasi web yang berkelanjutan. Sebagaimana dibuktikan oleh serangan Lazarus, kerentanan umum dalam aplikasi web yang dihosting di Microsoft IIS dapat dimanfaatkan oleh musuh untuk menyusupi server, mendapatkan akses tidak sah, mencuri data, atau melancarkan serangan lebih lanjut.

    Pengujian aplikasi web berkelanjutan memastikan bahwa dengan setiap perubahan pada aplikasi web atau konfigurasi, Anda menilai kembali postur keamanan infrastruktur Anda dan menangkap kerentanan yang muncul selama modifikasi.

    Manfaat lain dari pengujian keamanan aplikasi berkelanjutan adalah kedalaman cakupannya. Pengujian pena manual pada aplikasi web Anda mengungkap kelemahan teknis dan logika bisnis yang mungkin terlewatkan oleh pemindai otomatis. Cakupan ini menjawab fakta bahwa pemindai kerentanan tradisional mungkin memiliki keterbatasan dalam mendeteksi kerentanan dalam kasus-kasus tertentu, seperti dalam instalasi perangkat lunak yang tidak umum dimana jalur file mungkin menyimpang dari norma. Penilaian keamanan berkala yang tradisional mungkin membiarkan kerentanan tidak terdeteksi selama berbulan-bulan. Pendekatan berkelanjutan secara signifikan mengurangi waktu antara pengenalan kerentanan dan penemuannya. Dapatkan Pengujian Keamanan Aplikasi Web dengan SWAT Pengujian keamanan aplikasi web berkelanjutan menawarkan solusi proaktif dan efisien untuk mengidentifikasi dan mengurangi kerentanan pada aplikasi yang Anda jalankan di Microsoft IIS dan infrastruktur server yang mendasarinya. SWAT oleh Outpost 24 membekali Anda dengan pemindaian otomatis yang menyediakan pemantauan kerentanan berkelanjutan bersama dengan penilaian risiko yang sadar konteks untuk memprioritaskan upaya remediasi. Anda juga mendapatkan akses ke tim penguji pena yang sangat terampil dan berpengalaman yang akan menjelajahi aplikasi Anda untuk mencari kerentanan yang lebih sulit dideteksi dengan pemindai otomatis. Semua fitur ini tersedia dalam satu antarmuka pengguna dengan notifikasi yang dapat dikonfigurasi. Dapatkan demo langsung penerapan SWAT di sini dan lihat bagaimana Anda dapat mencapai tingkat pemantauan keamanan dan deteksi risiko yang lebih mendalam.
    Apakah artikel ini menarik? Ikuti kami di Twitter  dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.

    Source link

    You may also like

    Leave a Reply

    Your email address will not be published. Required fields are marked *