Вредонос ISN угрожает Microsoft IIS


Trustwave-SpuderLabsИсследователи компании Trustwave выявили образец веб-серверов Microsoft IIS, со специальными вредоносными модулями для кражи данных, которые передают пользователи сайтов под управлением IIS. После исследования выявленного образца в компании пришли к выводу, что уязвимость в веб-сервере Adobe ColdFusion используют хакеры для установки вредоносного программного обеспечения, работающего как подключаемый модуль для другого веб-сервера Microsoft IIS.

Вредоносный модуль представляет собой DLL-библиотеку, а распространяется в виде нескольких файлов под разными именами. При этом существуют версии модулей как под 32-, так и под 64-битные версии серверов IIS 6 и IIS 7. По классификации Trsusware вредонос получил наименование ISN.

ISN способен определять версии IIS и устанавливать подходящие под них модули, которые затем будут перехватывать POST-запросы и передаваемые в них пользовательские данные, транслируя эти сведения на указанные URL-хосты, а также сохраняя данные в журналах отчетов. Со слов специалистов, выбранный хакерами метод достаточно изящный, так как позволяет перехватывать сведения даже в случае SSL-шифрования трафика, когда такие сведения, как номера банковских карт, имена PIN-коды и прочие, передаются по защищенным каналам связи.

При этом, хакеры могут передавать команды вредоносной DLL-библиотеке, управляя тем самым ею.

Интересен тот факт, что в обнаруженных атаках через сервер Adobe Coldfusion хакеры использовали уязвимости CVE-2013-0629, исправления для которых сама Adobe выпустила еще в январе. В случае с обнаруженной атакой, хакеры пытались установить на веб-сервер шелл-оболочку, позволяющую им выполнять команды на сервере.


Обновлено (17.12.2013 19:17)