保护您的 Exchange 服务器：新兴的攻击威胁

关键要点

• 攻击者开始使用 Internet Information Services (IIS) Web 服务器扩展，而非传统的 Web Shells，来针对易受攻击的 Exchange 服务器。
• 恶意 IIS 扩展可以作为持久性后门，难以被识别。
• 攻击活动主要集中在 1 月至 5 月，目标是邮箱渗透、远程命令执行及凭证和机密数据盗窃。

最近，有越来越多的攻击者针对易受攻击的 。根据的报告，这些攻击者采用了
Internet Information Services (IIS) Web 服务器扩展，而非传统的 Web Shell，以便更好地避免检测。微软 365Defender 研究团队的报告指出，恶意 IIS 扩展可能作为持久性后门存在，因为它们的结构与合法模块完全相同，从而使识别变得非常困难。

微软表示：“在大多数情况下，实际的后门逻辑是微不足道的，若没有对合法 IIS扩展工作原理的广泛理解，则无法将其视为恶意，这使得确定感染源变得困难。”攻击者已被识别为在 1 月至 5 月期间发起了恶意 IIS扩展部署活动，目标包括邮箱渗透、远程命令执行及凭证和机密数据盗窃。微软补充道：“经过一段时间的侦察、导出凭证以及建立远程访问方式后，攻击者在
C:\inetpub\wwwroot\bin 文件夹中安装了名为 FinanceSvcModel.dll 的自定义 IIS 后门。该后门具备执行
Exchange 管理操作的内置功能，例如枚举已安装的邮箱账户，并导出邮箱以进行数据外泄。”

考虑到这些新兴的网络攻击手法，建议每个组织提高其 Exchange 服务器的安全性，以防止可能的威胁。