Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры воспользовались новой вредоносной программой Frebniis для взлома серверов Microsoft IIS

17/02/23

microsoft-iis-1280x720-1599472844092686804969-crop-1599472848886254827934

Хакеры внедряют новое вредоносное ПО под названием «Frebniss» в службы Microsoft Internet Information Services (IIS). Программа скрытно выполняет команды, отправляемые через веб-запросы, передает Securitylab.

Frebniis был обнаружен командой Symantec Threat Hunter Team, которая сообщила, что неизвестные злоумышленники в настоящее время используют данный вредонос против ряда тайваньских целей.

В атаках, замеченных Symantec, хакеры использовали функцию IIS под названием «Буферизация событий неудачных запросов» (FREB), отвечающую за сбор метаданных запросов (IP-адрес, заголовки HTTP, cookie-файлы). Её цель — помочь администраторам серверов устранить неожиданные коды состояния HTTP или проблемы с обработкой запросов.

Вредоносное ПО внедряет вредоносный код в определенную функцию DLL-файла, который управляет FREB («iisfreb.dll»), чтобы злоумышленники могли перехватывать и отслеживать все POST HTTP-запросы, отправляемые на сервер ISS. Когда вредоносная программа обнаруживает определенные HTTP-запросы, которые отправляет злоумышленник, она анализирует запрос, чтобы определить, какие команды выполнять на сервере.

Symantec сообщила, что злоумышленникам сначала необходимо взломать сервер IIS, чтобы скомпрометировать модуль FREB. Однако специалисты не смогли определить метод, который использовался для получения доступа в реальной атаке.

Внедрённый код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода C# без записи файлов на локальный диск. Это делает вредонос полностью незаметным. Он ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.

Второй параметр HTTP, представляющий собой строку в кодировке base64, позволяет выполнять команды в других системах через скомпрометированный IIS. Потенциально это позволяет Frebniis достигать защищенных внутренних систем, которые не доступны в Интернете.

«Если HTTP-вызов logon.aspx или default.aspx получен без параметра пароля, но со строкой Base64, предполагается, что строка Base64 представляет собой код C#, который будет выполняться прямо в памяти», — поясняется в отчёте Symantec.

Основным преимуществом использования компонента FREB в описанных целях является уклонение от обнаружения инструментами безопасности. Этот уникальный HTTP-бэкдор не оставляет следов или файлов и не создаёт подозрительных процессов в системе.

Хотя первоначальный путь компрометации неизвестен, специалисты рекомендуют в первую очередь обновить программное обеспечение, чтобы свести к минимуму вероятность того, что хакеры воспользуются известными уязвимостями. Расширенные инструменты мониторинга сетевого трафика также могут помочь обнаружить необычную активность таких вредоносных программ, как Frebniis.

Темы:MicrosoftУгрозыSymantecбэкдоры
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...