Spezielle IIS-Schadprogramme für Windows-Web-Server

Eset_News

Beitrag teilen

Spezielle Schadprogramme spähen Regierungen aus und attackieren Online-Shopper. ESET veröffentlicht Whitepaper über aktuelle Bedrohungen durch IIS-Malware für Windows-Web-Server.

Die Sicherheitslücken in Microsoft Exchange haben zu Beginn des Jahres für Sorgenfalten bei vielen IT-Administratoren gesorgt. Denn Hacker konnten die Internet Information Services (IIS) von Microsoft ausnutzen. ESET Forscher haben nun insgesamt zehn bisher unbekannte Malware-Familien analysiert, die als bösartige Erweiterungen für die IIS-Webserver genutzt wurden. Diese unterschiedlichen Bedrohungen zielen sowohl auf Mailboxen von Behörden als auch auf Kreditkartentransaktionen im E-Commerce ab. Dabei können sie die Kommunikation des Servers abhören und manipulieren. Laut den ESET Telemetriedaten haben sich fünf IIS-Backdoors 2021 durch die Ausnutzung der Sicherheitslücke bei Microsoft Exchange verbreitet. Der europäische IT-Sicherheitshersteller veröffentlicht hierzu ein Whitepaper auf WeLiveSecurity.

Anzeige

IIS – Internet Information Services-Webserver

„Die Internet Information Services-Webserver sind ein beliebtes Ziel für Hacker, sowohl um Schäden anzurichten als auch die Opfer auszuspionieren. Die modulare Architektur der Software bietet Webentwicklern diverse Erweiterungsmöglichkeiten, ist aber auch ein nützliches Werkzeug für Angreifer“, sagt Zuzana Hromcová, ESET Forscherin und Autorin des Whitepapers. „Es ist immer noch ziemlich selten, dass Sicherheitssoftware auf IIS-Servern läuft. Angreifer können daher über lange Zeiträume unbemerkt operieren. Dies sollte für alle seriösen Webportale beunruhigend sein, die die Daten ihrer Besucher, einschließlich Authentifizierungs- und Zahlungsinformationen, schützen wollen. Unternehmen oder Organisationen, die Outlook im Web verwenden, sollten ebenfalls aufpassen. Die Software ist von IIS abhängig und könnte ein interessantes Ziel für Spionage sein.“

Wozu werden die Schadprogramme eingesetzt?

Zu den Betroffenen dieser Malware gehören Regierungen in Südostasien und Dutzende von Unternehmen aus verschiedenen Branchen: vor allem in Kanada, Vietnam und Indien, aber auch in den USA, Neuseeland, Südkorea und anderen Ländern. Die ESET Forscher haben in ihrer Analyse fünf Hauptverwendungszwecke identifiziert, in denen IIS-Malware hauptsächlich operiert:

  • IIS-Backdoors ermöglichen den Angreifern die Fernsteuerung des kompromittierten Computers mit installiertem IIS.
  • IIS-Infostealer ermöglichen es Hackern, den regulären Datenverkehr zwischen dem infizierten Server und seinen legitimen Besuchern abzufangen und Informationen wie Anmeldedaten und Zahlungsinformationen zu stehlen.
  • IIS-Injektors ändern HTTP-Antworten, die an legitime Besucher gesendet werden, um bösartige Inhalte zu liefern.
  • IIS-Proxys machen den kompromittierten Server unwissentlich zu einem Teil der Command- und Control-Infrastruktur für eine andere Malware-Familie.
  • IIS-Malware verändert den Inhalt, der Suchmaschinen zur Verfügung gestellt wird, um Suchanfragen zu manipulieren und das SEO-Ranking für andere Websites, die für die Angreifer von Interesse sind, zu verbessern.

Was sind Internet Information Services?

IIS ist die Abkürzung für Internet Information Services, ein Webserver von Microsoft. Es handelt sich dabei nicht um eine eigenständige Plattform handelt, sondern um einen in Windows integrierten Dienst. Der IIS stellt alle Funktionen eines Webservers bereit. Damit können Websites gehostet, Webanwendungen verfügbar gemacht und Medien gestreamt werden. Damit ist dieser auch Microsofts Alternative zum Apache Webserver, welcher auf Linux läuft. IIS ist auch eine wichtige Funktion für Microsoft Exchange-Server.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Eine Einschätzung zu DeepSeek

Da DeepSeek auf Open-Source aufbaut, kann es sowohl von kriminell motivierten Personen als auch neutralen Enthusiasten sondiert und erforscht werden. ➡ Weiterlesen

Endpoint-Security für Office-PCs mit Windows 10

Noch sind sie massenhaft in Unternehmen zu finden: Office-PCs mit Windows 10. Das AV-TEST Institut hat in seiner Windows-Testreihe nun ➡ Weiterlesen

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen