Το νέο malware Frebniis, έχει εξαπολυθεί από χάκερ στις υπηρεσίες Internet Information Services (IIS) της Microsoft. Αυτό το κρυφό κακόβουλο λογισμικό εκτελεί εντολές που αποστέλλονται μέσω αιτημάτων διαδικτύου.
Δείτε επίσης: Η Citrix διορθώνει ευπάθειες σε Workspace, Virtual Apps and Desktops
Η ομάδα Threat Hunter της Symantec αποκάλυψε το Frebniis, το οποίο χρησιμοποιείται επί του παρόντος από έναν άγνωστο κακόβουλο παράγοντα για να στοχεύει θύματα από την Ταϊβάν.
Το Microsoft IIS είναι ένας ισχυρός web server και μια πλατφόρμα web app hosting για υπηρεσίες όπως το Outlook on the Web για το Microsoft Exchange, επιτρέποντας στους χρήστες να έχουν εύκολη πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου τους από οποιαδήποτε συσκευή.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Η Symantec εντόπισε πρόσφατα επιτιθέμενους να κάνουν κατάχρηση ενός χαρακτηριστικού του IIS που ονομάζεται “Failed Request Event Buffering” (FREB). Σκοπός του είναι η συλλογή metadata όπως η διεύθυνση IP, οι επικεφαλίδες HTTP και τα cookies. Σκοπός του είναι να βοηθήσει τους server admins να αντιμετωπίσουν απροσδόκητους HTTP status codes ή προβλήματα επεξεργασίας αιτημάτων.
Το κακόβουλο λογισμικό εισάγει κακόβουλο κώδικα σε μια συγκεκριμένη λειτουργία ενός αρχείου DLL που ελέγχει το FREB (“iisfreb.dll”) για να επιτρέψει στον εισβολέα να υποκλέψει και να παρακολουθεί όλα τα αιτήματα HTTP POST που αποστέλλονται στον ISS server. Όταν το κακόβουλο λογισμικό εντοπίζει συγκεκριμένα αιτήματα HTTP που στέλνει ο εισβολέας, αναλύει το αίτημα για να καθορίσει ποιες εντολές θα εκτελεστούν στον server.
Δείτε επίσης: Η νέα παραλλαγή Mirai malware μολύνει συσκευές Linux για τη δημιουργία botnet DDoS
Σύμφωνα με τη Symantec, οι κακόβουλοι φορείς πρέπει να παραβιάσουν έναν IIS server για να παραβιάσουν το FREB module, ωστόσο, η ακριβής προσέγγιση της διείσδυσης ήταν άγνωστη.
Ο κώδικας που εισάγεται είναι ένα backdoor .NET που υποστηρίζει proxying και εκτέλεση κώδικα C# χωρίς να αγγίζει ποτέ το δίσκο, καθιστώντας τον εντελώς κρυφό. Αναζητά αιτήματα που γίνονται στις σελίδες logon.aspx ή default.aspx με συγκεκριμένη παράμετρο κωδικού πρόσβασης.
Μια δεύτερη παράμετρος HTTP, η οποία είναι μια κωδικοποιημένη συμβολοσειρά base64, δίνει εντολή στον Frebniis να επικοινωνεί και να εκτελεί εντολές σε άλλα συστήματα μέσω του παραβιασμένου IIS, φτάνοντας ενδεχομένως σε προστατευμένα εσωτερικά συστήματα που δεν εκτίθενται στο διαδίκτυο.
Αυτό το κακόβουλο λογισμικό μπορεί να εκτελέσει τις ακόλουθες εντολές:
Το κύριο πλεονέκτημα του abuse του FREB component για τους περιγραφόμενους σκοπούς είναι η αποφυγή εντοπισμού από εργαλεία ασφαλείας. Αυτό το μοναδικό backdoor HTTP δεν αφήνει ίχνη ή αρχεία και δεν δημιουργεί ύποπτες διαδικασίες στο σύστημα.
Αν και το αρχικό compromise pathway είναι άγνωστο, η ενημέρωση του λογισμικού σας συνιστάται γενικά για να ελαχιστοποιηθούν οι πιθανότητες εκμεταλλεύσεως γνωστών τρωτών σημείων από χάκερ.
Δείτε επίσης: Scandinavian Airlines: Κυβερνοεπίθεση οδήγησε σε διαρροή δεδομένων
Η χρήση προηγμένων εργαλείων παρακολούθησης της κυκλοφορίας δικτύου μπορεί να βοηθήσει στον εντοπισμό οποιασδήποτε παράτυπης συμπεριφοράς από κακόβουλο λογισμικό όπως το Frebniis.
Πηγή πληροφοριών: bleepingcomputer.com