Frebniis恶意软件滥用Microsoft IIS功能创建后门
Broadcom Symantec 研究人员发现了一种新的恶意软件,被追踪为 Frebniis,它滥用 Microsoft Internet Information Services (IIS) 来部署后门并监视所有 HTTP 流量到受感染系统,Symantec 报告。
目前未知的威胁行为者使用恶意代码对台湾的目标进行攻击。
Frebniis 的运行方式是将代码注入 iisfreb.dll 的内存中,IIS 功能失败请求事件缓冲 (FREB) 使用该代码对失败的请求进行故障排除。
“Frebniis 使用的技术涉及将恶意代码注入 DLL 文件 (iisfreb.dll) 的内存中,该文件与 IIS 功能相关,用于对失败的网页请求进行故障排除和分析。这允许恶意软件偷偷监视所有 HTTP 请求并识别攻击者发送的特殊格式的 HTTP 请求,从而允许远程代码执行。” 阅读赛门铁克发布的报告。“为了使用这种技术,攻击者需要通过其他方式访问运行 IIS 服务器的 Windows 系统。在这种特殊情况下,尚不清楚这种访问是如何实现的。”
IIS 功能失败请求事件缓冲 (FREB) 收集有关请求的数据和详细信息,例如带有 cookie 的 HTTP 标头、原始 IP 地址和端口等。
称为失败请求跟踪的功能可用于对 IIS 失败请求进行故障排除。Frebniis 确保作为攻击的一部分启用失败请求跟踪,然后访问 w3wp.exe (IIS) 进程内存,获取加载失败请求事件缓冲代码 (iisfreb.dll) 的地址。
一旦获得函数的代码起始地址,Frebniis 恶意软件就会从那里搜索函数指针表来劫持代码执行并实现其恶意代码的执行。
“Frebniis 的作者已经确定,只要从 Web 客户端向 IIS 发出任何 HTTP 请求,iiscore.dll 就会调用 iisfreb.dll 中的一个特定函数指针。” 继续报告。 “Frebniis通过将自己的恶意代码注入IIS进程内存,然后用自己恶意代码的地址替换这个函数指针,来劫持这个函数。”
Frebniis 使用特定参数密码解析对 /logon.aspx 或 /default.aspx 的所有请求,这允许它在找到密码匹配时解密并执行 .NET 代码。
恶意代码解析所有收到的针对 /logon.aspx 或 /default.aspx 的 HTTP POST 请求以及设置为“7ux4398!”的参数密码。在匹配密码后,恶意软件会解密并执行包含在一段注入代码中的主后门。后门是.NET 可执行代码。专家指出,该恶意软件不会将可执行文件保存到磁盘,这使其完全隐蔽。
后门实现代理功能和远程代码执行。

该代码提供代理和远程代码执行功能,允许恶意软件操作员与通常被阻止访问互联网的内部资源进行通信,以及使用精心设计的 HTTP 请求直接在内存中执行代码。
“这些请求允许远程代码执行和以隐秘方式代理到内部系统。系统上不会运行任何文件或可疑进程,这使得 Frebniis 成为一种相对独特且罕见的 HTTP 后门类型,”赛门铁克总结道。
这家网络安全公司表示,Frebniis 已被未知的威胁行为者用于针对台湾实体的攻击
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4204.html