Поделиться
Неизвестный троян напал на серверы Microsoft, стоящие на Тайване
Бэкдор неизвестного происхождения эксплуатирует функцию сбора метаданных входящих запросов FREB. Таким образом ему удается сохранять скрытность.
Подслушивающее устройство
Интернет-серверы Microsoft IIS (Internet Information Services) атакует новый вредонос под названием Frebniss, который выполняет функции бэкдора и позволяет скрытно запускать произвольные команды, присылаемые через веб-запросы.
Frebniss обнаружили эксперты Symantec Threat Hunter Team. По их данным, операторы Frebniss в основном атакуют жертв на территории Тайваня.
Microsoft IIS выполняет функции, собственно, веб-сервера и платформы для хостинга веб-приложений, таких как Outlook for the Web и Microsoft Exchange.
В ходе атак, которые изучили эксперты Symantec, хакеры эксплуатировали функцию IIS под названием Failed Request Event Buffering (FREB — буферизация неудачного запроса), которая отвечает за сбор метаданных поступающих запросов: IP-адреса, HTTP-заголовки, файлы Cookie. Смысл этой функции — помочь администраторам сервера устранять проблемы, возникающие при обработке запросов или появлении неожиданных статусов HTTP.
Вредонос встраивает код в одну из функций DLL-файла, отвечающего за управление FREB (iisfreb.dll), тем самым обеспечивая оператору возможность перехватывать и мониторить все запросы HTTP POST, направляемые на сервер ISS. Когда вредонос выявляет специфические HTTP-запросы, отправленные операторами атаки, он вычленяет из них команды, которые должны быть запущены на сервере.
Как он туда попал?
Эксперты Symantec отметили, что для компрометации модуля FREB злоумышленники уже должны были получить доступ к серверу, но каким именно образом им это удалось, пока остается неизвестным.
Сам по себе инъектируемый вредоносный код представляет собой бэкдор .NET, который поддерживает проксирование и выполнение кода на языке C# прямо в оперативной памяти устройства (без следов на жестком диске), что сильно затрудняет его обнаружение.
Он также ищет запросы к страницам logon.aspx или default.aspx с определенным параметром пароля.
Второй HTTP-параметр закодирован с помощью base64. Это инструкция для Frebniis установить соединение и выполнить команды на других системах через скомпрометированный IIS. В теории это позволяет добраться до защищенных внутренних систем, которые недоступны из внешней сети.
Основной целью эксплуатации FREB является скрытность — вредонос таким образом маскируется от средств обнаружения, и делает это крайне эффективно: никаких следов, никаких файлов, никаких подозрительных процессов в системе не формируется.
В Symantec отметили, что продвинутые средства мониторинга сетевого трафика могут помочь обнаружить признки активности вредоносов, в том числе Frebniis.
«Учитывая, что механизм первоначальной компрометации остается неизвестным, эта программа может быть еще зловредней, чем следует из отчета Symantec, — полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Впрочем, подобные программы обычно используются в целевых атаках, поэтому нельзя исключать, что первоначальный взлом и вовсе осуществляется вручную, или злоумышленники покупают его у брокеров в даркнете. Возможно также, что Frebniis используется в комбинации с каким-то другим вредоносом, который пока не удалось перехватить».
Поделиться
Короткая ссылка
