Начиная со Windows NT 3.51 1995 года выпуска, система Windows всегда содержит расширяемый веб-сервер Internet Information Services (IIS). По умолчанию он не активен, но при этом может открыть систему для внешних атак. Недавно такие атаки обнаружила компания Symantec.
Backdoor.Frebniis представляет собой новую скрытую вредоносную программу. Она использует уязвимость в IIS для внедрения бэкдора в веб-серверы на Windows. Неизвестные злоумышленники активно применяют программу на Тайване. Для успешного заражения системы хакерам нужен доступ к серверу IIS. Аналитики Symantec пока не выяснили, как они получили этот доступ.
Frebniis использует функцию, известную как буферизация событий неудачных запросов (FREB). IIS применяет её для сбора данных о запросах, включая исходный IP-адрес и порт, заголовки HTTP с файлами куки и т.д. Собранные данные помогают администраторам устранять неполадки с невыполненными запросами, обнаруживая причины определённых кодов состояния HTTP. Другая функция, Failed Request Tracing (FRT), позволяет администраторам узнавать, почему обработка запроса на подключение занимает больше положенного времени.
Для начала Frebniis проверяет активность функции FRT, затем получает доступ к памяти процесса сервера IIS. Дальше происходит взлом кода FREB посредством вредоносного модуля iisfreb.dll. Вредоносное приложение заменяет исходный файл FREB, так что Frebniis может незаметно получать и проверять каждый HTTP-запрос с сервера IIS.
Если выполняется специальный запрос HTTP POST, Frebniis расшифровывает и выполняет внедрённый в память FREB исходный код .NET бэкдора. Оставаясь активным в памяти, бэкдор умеет получать удалённые команды или выполнять вредоносный код.
Удалённое выполнение кода происходит путём интерпретации любой полученной строки, закодированной в Base64, которую бэкдор считает исполняемым кодом C#, для запуска в памяти. Так Frebniis избегает сохранения данных в файлах на диске, работая скрытно.
Symantec считает, что Frebniis является довольно редким видом бэкдора на основе HTTP. Вредоносная программа имеет два хэша для обнаружения. Естественно, компания рекомендует использовать свой антивирус для защиты от Frebniis, пишет Techpsot.