TechSpot bo kmalu praznoval svojo 25. obletnico. TechSpot pomeni tehnično analizo in nasvet, ki mu lahko zaupate.

V kontekstu: Začenši z dobrim starim NT 3.51, izdanim leta 1995, je Windows vedno vključeval razširljiv spletni strežnik, imenovan Internet Information Services (IIS). Čeprav privzeto ni aktiven, lahko operacijski sistem odpre zunanjim napadom, kot je nedavno odkril Symantec.

Backdoor.Frebniis ali preprosto Frebniis je prikrita nova zlonamerna programska oprema, ki so jo odkrili Symantecovi raziskovalci in ki izkorišča ranljivost v IIS, da postavi stranska vrata v spletne strežnike Windows. Neznani kibernetski kriminalci so aktivno izkoriščali tarče v Tajvanu. Za okužbo sistema hekerji najprej potrebujejo dostop do strežnika IIS. Symantecovi analitiki še niso ugotovili, kako so napadalci pridobili začetni dostop.

Vendar pa je notranje delovanje zlonamerne programske opreme edinstveno. Frebniis zlorablja funkcijo, imenovano Failed Request Event Buffering (FREB), ki jo IIS uporablja za zbiranje podatkov in podrobnosti o zahtevah, vključno z izvirnim naslovom IP in vrati, glavami HTTP s piškotki itd. Zbrani podatki lahko kasneje pomagajo skrbnikom pri odpravljanju neuspešnih zahtev , odkrivanje razlogov za določene statusne kode HTTP. Druga funkcija, Failed Request Tracing (FRT), omogoča skrbnikom, da ugotovijo, zakaj obdelava zahteve za povezavo traja dlje, kot bi morala.

Frebniis najprej zagotovi, da je funkcija FRT omogočena in nato dostopa do pomnilnika procesa strežnika IIS, preden končno ugrabi kodo FREB z zlonamernim modulom iisfreb.dll. Zlonamerna programska oprema prevzame mesto izvirne datoteke FREB, tako da lahko Frebniis „prikrito” sprejme in pregleda vsako zahtevo HTTP s strežnika IIS.

Če prejme posebno zahtevo HTTP POST, Frebniis dešifrira in izvede izvirno kodo .NET backdoorja, vbrizgano v pomnilnik FREB. Ko so zadnja vrata aktivna v pomnilniku, lahko sprejemajo oddaljene ukaze ali celo izvajajo zlonamerno kodo.

Izvedba na daljavo se doseže z interpretacijo katerega koli prejetega niza, kodiranega v Base64, za katerega backdoor domneva, da je izvedljiva koda C#, da se izvaja neposredno v pomnilniku. Na ta način se Frebniis izogne ​​shranjevanju kakršnih koli podatkov kot dejanske datoteke na disk in deluje popolnoma prikrito.

Symantec ugotavlja, da je Frebniis sorazmerno edinstvena stranska vrata, ki temeljijo na protokolu HTTP, ki jih redko vidimo v naravi. Zlonamerna programska oprema ima dve zgoščeni vrednosti, ki jo označujeta za odkrivanje. Podjetje svetuje, da imate najnovejše definicije virusov in zlonamerne programske opreme v zaščitni zbirki Symantec (ali kateri koli drugi) za blokiranje Frebniisa.

Preberi več