ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 21-08-13 09:45
ESET Research, 정부를 도청하고 전자 상거래를 표적으로 삼는 새로운 IIS 웹 서버 위협 발견
 글쓴이 : ESTC
조회 : 214  


사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 새로운 IIS 웹 서버 위협을 발견했다고 밝히며 주의를 당부했습니다.

ESET 연구진은 이전에 문서화되지 않은 10개의 악성 프로그램 세트를 발견했습니다. 이것들은 인터넷 정보 서비스(IIS) 웹 서버 소프트웨어에 대한 악성 확장으로 구현되어 있습니다. 정부 사서함과 전자 상거래 신용 카드 거래를 모두 대상으로 삼고 맬웨어 배포를 지원하는 이 다양한 종류의 위협은 서버 통신을 도청하고 변조하는 방식으로 작동합니다. ESET 원격 분석 및 ESET 연구원들이 이러한 백도어의 존재를 감지하기 위해 수행한 추가 인터넷 전체 검사 결과에 따르면 2021년 이후로 최소 5개의 IIS 백도어가 Microsoft Exchange 이메일 서버의 서버 악용을 통해 확산되고 있습니다.

피해자 중에는 동남아시아 정부와 캐나다, 베트남, 인도 뿐만 아니라 미국, 뉴질랜드, 한국 및 기타 국가에 위치한 다양한 산업에 속한 수십 개의 회사가 있습니다.

ESET Research는 "네이티브 IIS 맬웨어 분석" 백서를 게시하고 새로 발견된 가장 주목할 만한 위협인 IIStealer, IISpy 및 IISerpent에 대한 일련의 블로그 게시물을 등록했습니다. 이는 2021년 8월 11일까지 WeLiveSecurity에 게시됩니다. ESET의 IIS 맬웨어 연구 결과는 Black Hat USA 2021 에서 처음 발표되었으며 2021년 10월 8일 Virus Bulletin 2021 컨퍼런스에서 커뮤니티와 공유될 예정입니다.

IIS 맬웨어는 사이버 범죄, 사이버 스파이 활동 및 SEO(Search Engine Optimization) 사기에 사용되는 다양한 종류의 위협이지만 모든 경우에 주요 목적은 손상된 IIS 서버로 들어오는 HTTP 요청을 가로채서 서버가 이러한 요청(일부)에 응답하는 방식에 영향을 미치는 것입니다. “IIS 웹 서버는 사이버 범죄와 사이버 스파이 활동을 위한 다양한 악의적 행위자의 표적이 되었습니다. 웹 개발자에게 확장성을 제공하도록 설계된 소프트웨어의 모듈식 아키텍처는 공격자에게 유용한 도구가 될 수 있습니다.”라고 ESET 연구원 Zuzana Hromcová는 말합니다.

ESET은 IIS 맬웨어가 작동하는 5가지 주요 모드를 식별했습니다.

• 운영자는 IIS 백도어를 통해 IIS가 설치된 손상된 컴퓨터를 원격으로 제어할 수 있습니다.
• IIS 정보 스틸러의 운영자는 손상된 서버와 합법적인 방문자 간의 정기적인 트래픽을 가로채 로그인 자격 증명 및 지불 정보와 같은 정보를 훔칠 수 있습니다.
• IIS 인젝터는 합법적인 방문자에게 보낸 HTTP 응답을 수정하여 악성 콘텐츠를 제공합니다.
• IIS 프록시는 손상된 서버를 다른 맬웨어 계열에 대한 명령 및 제어 인프라의 일부로 만듭니다.
• SEO 부정 행위 IIS 맬웨어는 검색 엔진에 제공되는 콘텐츠를 수정하여 SERP 알고리즘을 조작하고 공격자가 관심을 가질 만한 다른 웹사이트의 순위를 높입니다.

“보안 소프트웨어가 IIS 서버에서 실행되는 경우는 여전히 매우 드물기 때문에 공격자가 오랜 시간 동안 눈에 띄지 않게 작업하기 쉽습니다. 이것은 인증 및 지불 정보를 포함하여 방문자의 데이터를 보호하려는 모든 심각한 웹 포털에 방해가 될 것입니다. 웹용 Outlook을 사용하는 조직은 IIS에 의존하고 스파이 활동의 흥미로운 대상이 될 수 있으므로 주의를 기울여야 합니다.”라고 Hromcová는 설명합니다.

ESET Research는 IIS 맬웨어 공격을 완화하는 데 도움이 되는 몇 가지 권장 사항을 제공합니다. 여기에는 IIS 서버 관리 시 고유하고 강력한 암호 및 다단계 인증 사용, 운영 체제 최신 상태 유지, 서버에 대한 웹 애플리케이션 방화벽 및 엔드포인트 보안 솔루션 사용, 설치된 모든 확장이 합법적인지 정기적으로 확인하는 작업이 포함됩니다.

ESET은 백서와 함께 2021년 8월 6일부터 8월 11일까지 백서에서 파생된 짧은 블로그 게시물을 업로드했습니다.

네이티브 IIS 맬웨어 분석(8월 6일 17:00 CEST) - 요약 블로그 게시물과 함께 게시된 광범위한 백서.
IIStealer: 전자 상거래에 대한 서버 측 위협(8월 6일 17:00 CEST) - 신용 카드 정보를 훔치기 위해 서버 트랜잭션을 가로채는 악성 IIS 확장(트로이 목마)을 살펴보는 블로그 게시물입니다.
IISpy: 안티 포렌식 기능이 있는 복잡한 서버 측 백도어(8월 9일, 11:30 CEST) - 손상된 서버에 대한 장기 스파이 활동을 보호할 수 있는 악성 IIS 확장(백도어)에 대한 블로그 게시물입니다.
IISerpent: 페이지 순위를 높이기 위한 맬웨어 기반 서비스(8월 11일 11:30 CEST) - 타사 웹사이트에 대한 SEO 통계를 조작하는 데 사용되는 악성 확장 프로그램(서버 측 트로이 목마)을 설명하는 블로그 게시물입니다.

이러한 IIS 위협에 대한 자세한 기술 정보는 소개 블로그 게시물 "Anatomy of native IIS malware" 및 WeLiveSecuritydml 대한 백서를 읽으십시오. 8월 6일부터 8월 11일까지 IIStealer, IISpyIISerpent에 대한 후속 블로그 게시물을 읽을 수 있습니다. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.

Microsoft Exchange Server ProxyLogon 취약점 체인을 통해 확산되는 네이티브 IIS 백도어의 피해 지역


IIS 맬웨어 메커니즘 개요







ESET 소개
ESET®은 30여년 간 전세계 기업 및 개인 고객을 위한 업계 최고의 IT 보안 소프트웨어 및 서비스를 개발해 왔습니다. 엔드포인트 및 모바일 보안부터 암호화 및 2단계 인증에 이르는 솔루션을 통해, ESET의 고성능이면서도 사용이 간편한 제품은 개인 및 기업 고객에게 기술의 잠재력을 최대한 누릴 수 있는 심리적 여유를 제공합니다. ESET은 연중무휴 24/7 보호 및 모니터링하며 실시간으로 방어 기능을 업데이트하여 사용자의 안전을 유지하고 중단 없이 비즈니스를 운영되도록 합니다. 진화하는 위협에는 진화하는 IT 보안 회사가 필요합니다. 전 세계 13개 R&D 센터가 지원하는 ESET는 2003년 이후 100개의 Virus Bulletin VB100 상을 수상하는 최초의 IT 보안 회사입니다.

자세한 내용은 https://www.eset.com/ 을 방문하거나, Linkedin, FacebookTwitter 에서 ESET을 팔로우 하십시오.