Серверы из Китая отстают от 282-кратного увеличения числа атак IIS
Скомпрометированные серверы из Китая за огромным скачком в атаках на веб-технологии IIS, Drupal и Oracle WebLogic.
Полученные данные предоставлены новым сообщением об угрозе от eSentire, Inc.
Атаки IIS показали во втором квартале этого года рост в 782 раза, с 2000 до 1,7 миллиона, по сравнению с предыдущим кварталом.
Биотехнология, бухгалтерский учет, недвижимость, маркетинг и строительство были наиболее серьезно затронуты.
Наиболее распространенная тактика выполнения, наблюдаемая в решениях для конечных точек, - это использование PowerShell (32%), за которым следуют сценарии VBA (21%). Из наблюдаемых атак на PowerShell 83% использовали запутанные командные строки, предназначенные для сокрытия своих намерений.
Результаты предоставлены новым отчетом об угрозе от eSentire, Inc.
> Смотрите также: eSentire и Cyxtera - партнер для защиты среднего бизнеса
В отчете установлено, что большинство источников, предназначенных для веб-серверов IIS, происходят из IP-адресов в Китае. По словам Шодана, открыто 3,5 миллиона веб-серверов IIS (из них 1 миллион в Китае). Скомпрометированные серверы в основном происходили из Tencent и Alibaba.
eSentire также сообщил, что среди задействованной атакующей инфраструктуры была «интересная коллекция операционных систем». Более 400 атакующих IP-адресов имели записи Shodan, указывающие на то, что они были компьютерами Windows (включая XP, 7, 8, 2008 и 2012). Кроме того, было сообщено о 350 серверах FTP и более 100 почтовых серверах; были также VPN-серверы, устройства MikroTik (заявленные как серверы тестирования пропускной способности), Kangle, Squid, Jetty и несколько менее известных технологий веб-сервисов.
«IIS - это популярный веб-сервер, распространенный в США и Китае, - пояснил Керри Бейли, генеральный директор eSentire.
> Смотрите также: Гибридные ИТ необходимы для корпоративных инноваций - SUSECON 17
Бэйли предположил, что «организациям, использующим веб-серверы, необходимо убедиться, что они отслеживают эти уязвимости и, при необходимости, обновляют или исправляют.
«Oracle WebLogic - это еще один веб-сервер, на котором было много атак, и мы также видели атаки Apache.
«Веб-серверы де-факто подвержены риску, что делает их основной целью, и мы видели, что продолжающиеся атаки на IIS продолжатся в третьем квартале 2018 года.
> Смотрите также: Почему организации должны защищать сеть
«Доступны исправления IIS для более ранних версий, таких как 6.0. В противном случае пользователям следует рассмотреть возможность обновления до более свежих версий веб-сервера ».
В отчете также установлено, что:
- Emotet был наиболее часто встречающимся вредоносным ПО из-за многочисленных обновлений версий и дополнений к функциям, так как о нем впервые было сообщено в 2014 году.
- Использование запутанных команд PowerShell увеличилось на 50% по сравнению с прошлым кварталом, частично благодаря вкладу Emotet.
- Выделялись четыре наблюдаемые эксплойт-кампании, нацеленные на IIS, Drupal, серверы WebLogic и маршрутизаторы GPON. Домашние маршрутизаторы GPON подверглись атаке после выпуска кода PoC (eSentire обнаружил всего 5 тыс. Обнаружений, а пик производительности достиг 12 мая). eSentire продолжает видеть эксплойты домашнего маршрутизатора в течение третьего квартала.