• Главная
    • /
  • Блог
    • /
  • Серверы из Китая отстают от 282-кратного увеличения числа атак IIS

Серверы из Китая отстают от 282-кратного увеличения числа атак IIS

Скомпрометированные серверы из Китая за огромным скачком в атаках на веб-технологии IIS, Drupal и Oracle WebLogic. Скомпрометированные серверы из Китая за огромным скачком в атаках на веб-технологии IIS, Drupal и Oracle WebLogic

Полученные данные предоставлены новым сообщением об угрозе от eSentire, Inc.

Атаки IIS показали во втором квартале этого года рост в 782 раза, с 2000 до 1,7 миллиона, по сравнению с предыдущим кварталом.

Биотехнология, бухгалтерский учет, недвижимость, маркетинг и строительство были наиболее серьезно затронуты.

Наиболее распространенная тактика выполнения, наблюдаемая в решениях для конечных точек, - это использование PowerShell (32%), за которым следуют сценарии VBA (21%). Из наблюдаемых атак на PowerShell 83% использовали запутанные командные строки, предназначенные для сокрытия своих намерений.

Результаты предоставлены новым отчетом об угрозе от eSentire, Inc.

> Смотрите также: eSentire и Cyxtera - партнер для защиты среднего бизнеса

В отчете установлено, что большинство источников, предназначенных для веб-серверов IIS, происходят из IP-адресов в Китае. По словам Шодана, открыто 3,5 миллиона веб-серверов IIS (из них 1 миллион в Китае). Скомпрометированные серверы в основном происходили из Tencent и Alibaba.

eSentire также сообщил, что среди задействованной атакующей инфраструктуры была «интересная коллекция операционных систем». Более 400 атакующих IP-адресов имели записи Shodan, указывающие на то, что они были компьютерами Windows (включая XP, 7, 8, 2008 и 2012). Кроме того, было сообщено о 350 серверах FTP и более 100 почтовых серверах; были также VPN-серверы, устройства MikroTik (заявленные как серверы тестирования пропускной способности), Kangle, Squid, Jetty и несколько менее известных технологий веб-сервисов.

«IIS - это популярный веб-сервер, распространенный в США и Китае, - пояснил Керри Бейли, генеральный директор eSentire.

> Смотрите также: Гибридные ИТ необходимы для корпоративных инноваций - SUSECON 17

Бэйли предположил, что «организациям, использующим веб-серверы, необходимо убедиться, что они отслеживают эти уязвимости и, при необходимости, обновляют или исправляют.

«Oracle WebLogic - это еще один веб-сервер, на котором было много атак, и мы также видели атаки Apache.

«Веб-серверы де-факто подвержены риску, что делает их основной целью, и мы видели, что продолжающиеся атаки на IIS продолжатся в третьем квартале 2018 года.

> Смотрите также: Почему организации должны защищать сеть

«Доступны исправления IIS для более ранних версий, таких как 6.0. В противном случае пользователям следует рассмотреть возможность обновления до более свежих версий веб-сервера ».

В отчете также установлено, что:

  • Emotet был наиболее часто встречающимся вредоносным ПО из-за многочисленных обновлений версий и дополнений к функциям, так как о нем впервые было сообщено в 2014 году.
  • Использование запутанных команд PowerShell увеличилось на 50% по сравнению с прошлым кварталом, частично благодаря вкладу Emotet.
  • Выделялись четыре наблюдаемые эксплойт-кампании, нацеленные на IIS, Drupal, серверы WebLogic и маршрутизаторы GPON. Домашние маршрутизаторы GPON подверглись атаке после выпуска кода PoC (eSentire обнаружил всего 5 тыс. Обнаружений, а пик производительности достиг 12 мая). eSentire продолжает видеть эксплойты домашнего маршрутизатора в течение третьего квартала.