IISerpent Trojan
IISerpent Truva Atı, Microsoft'un Internet Information Services Web sunucusu yazılımını hedefleyen özel bir kötü amaçlı yazılım tehdididir. Tehdit, bozuk bir uzantı olarak bir IIS kurulumuna enjekte edilir. Diğer ISS kötü amaçlı yazılım tehditlerinden farklı olarak, IISerpent'in amacı, hassas bilgileri (kredi/banka kartı numaraları) toplamak veya güvenliği ihlal edilmiş sistemlerde arka kapı komutları yürütmek değildir. IISerpent'in işlevselliği en iyi hizmet olarak sunulan SEO (Arama Motoru Optimizasyonu) sahtekarlığı olarak tanımlanabilir. Tehdit, Black Hat SEO olarak bilinen bir davranış olan etik olmayan SEO teknikleri kullanır ve büyük olasılıkla bilgisayar korsanlarının hizmetleri için ödeme yapan müşterilere ait olan üçüncü taraf sayfaların sıralamasını yükseltmeye çalışır.
İçindekiler
Teknik detaylar
IISerpent, yerel bir IIS modülüdür. C++ DLL olarak uygulanır ve %windir%\system32\inetsrv\config\ApplicationHost.config dosyasına eklenir. Bunu yapmak, virüslü sistemde hem yürütülmesini hem de kalıcılığını sağlar. Tamamen kurulduktan sonra, kötü amaçlı yazılım, sunucuda barındırılan web sitelerine gelen tüm HTTP isteklerini engellemeye başlayacaktır. Ancak, IISerpent, güvenliği ihlal edilmiş sunucuyu veya sunucunun kullanıcılarını doğrudan etkilemez. Kötü amaçlı yazılım, meşru ziyaretçilerden gelen istekleri tamamen yok sayar. Yalnızca arama motoru tarayıcılarıyla ilgili isteklerle ilgilenir ve ardından onlara gerçek sayfada ne olduğunu farklı içerik gösterir. Yeni içerik, işlemin C&C (Komut ve Kontrol) sunucusundan veya yerel bir yapılandırma dosyasından alınır.
Kullanılan SEO Teknikleri
Arama motoru tarayıcıları, İnternet'i taramaktan ve buldukları sayfalardaki içeriği analiz etmekten sorumludur. Bu botlar tarafından taranan içerik, belirli arama terimleriyle ilgili her sayfanın sıralamasını belirleyen karmaşık bir algoritma ile çalıştırılır. Sayfanızın sıralamasını yükseltmek, görünürlük ve potansiyel trafikte artış anlamına gelir.
Bu hedefe ulaşmak için bazı sayfa operatörleri gölgeli SEO taktikleri kullanmaya isteklidir. IISerpent, güvenliği ihlal edilmiş sunucudaki web sitelerindeki sıralamalardan yararlanarak üçüncü taraf web sitelerinin sıralamasını iyileştirmek için tam olarak bu tür tekniklere güvenir. Daha spesifik olarak, IISerepent iki temel yöntem kullanır:
- Arama motorlarını özel olarak seçilmiş bir web sitesine yönlendirerek, onu bir giriş sayfasına dönüştürür.
- Arama motoru tarayıcılarına gönderilen HTTP yanıtına önceden yapılandırılmış geri bağlantıların bir listesini enjekte eder. Bu yöntem, tehdit tarafından ele geçirilen sunucuları etkin bir şekilde bağlantı çiftliklerine dönüştürür.
IISerpent Enfeksiyonunun Sonuçları
IISerpent'in eylemlerinin sitelerin meşru ziyaretçilerini hiçbir şekilde etkilemediği doğru olsa da, varlığı hafife alınmamalıdır. Tehdit, güvenliği ihlal edilmiş web sitelerinin itibarını ele geçirir ve arama motoru tarayıcılarını kandırmak için etik olmayan SEO uygulamaları kullanır. Her iki aktivite de eninde sonunda motorlar tarafından fark edilecek ve ilgili web sitelerinin, programa istekli katılımcılar olmadan cezalandırılmasına neden olabilir. Daha sonra, itibarlarını temizlemek ve cezaları kaldırmak maliyetli ve son derece zaman alıcı bir süreç olabilir. Bu tür hoş olmayan sonuçlardan kaçınmak için IIS sunucularınızı güncel tutun, kanıtlanmamış kaynaklardan uzantı indirmeyin ve sunucuya bir güvenlik duvarı uygulaması veya güvenlik çözümü eklemeyi düşünün.
