Μια οικογένεια κακόβουλου λογισμικού που εντοπίστηκε πρόσφατα κάνει κατάχρηση των Υπηρεσιών Πληροφοριών Διαδικτύου της Microsoft (IIS) για να αναπτύξει μια κερκόπορτα και να παρακολουθεί όλη την κίνηση HTTP στο μολυσμένο σύστημα, αναφέρει η Symantec.
Με το όνομα Frebniis, το κακόβουλο λογισμικό εισάγει κώδικα σε ένα DLL που χρησιμοποιεί την δυνατότητα Failed Request Event Buffering (FREB) του IIS που βοηθάει στην αντιμετώπιση προβλημάτων αποτυχημένων αιτημάτων.
Το FREB συλλέγει δεδομένα σχετικά με τα αιτήματα που παρακολουθούνται, συμπεριλαμβανομένων των κεφαλίδων HTTP με cookies, της διεύθυνσης και της θύρας IP προέλευσης και πολλά άλλα.
Ο Frebniis πρώτα διασφαλίζει ότι χρησιμοποιείται το FREB, και στη συνέχεια αποκτά πρόσβαση στη διαδικασία IIS για να ανακτήσει πληροφορίες σχετικά με το πού έχει φορτωθεί το στοχευμένο FREB DLL (iisfreb.dll).
Σύμφωνα με τη Symantec, “οι συντάκτες του Frebniis έχουν καθορίσει ότι ένας συγκεκριμένος δείκτης συνάρτησης μέσα στο iisfreb.dll καλείται από το iiscore.dll κάθε φορά που υποβάλλεται οποιοδήποτε αίτημα HTTP στις υπηρεσίες IIS από έναν πελάτη ιστού.”
Το κακόβουλο λογισμικό στη συνέχεια προχωρά στην εισαγωγή κώδικα στη διαδικασία IIS για να παραβιάσει τη λειτουργία αντικαθιστώντας τον δείκτη του με τον δικό του κακόβουλο κώδικα.
“Αυτό το σημείο εισβολής επιτρέπει στο Frebniis να λαμβάνει και να επιθεωρεί κρυφά κάθε αίτημα HTTP στον διακομιστή IIS πριν επιστρέψει στην αρχική λειτουργία”, σημειώνει η Symantec.
Με την παραβίαση της λειτουργίας IIS, η κερκόπορτα HTTP παραμένει εντελώς κρυφή στο σύστημα, ενώ είναι σε θέση να επιθεωρήσει όλα τα αιτήματα HTTP για να εντοπίσει τα ειδικά διαμορφωμένα.
Το Frebniis αναλύει όλα τα αιτήματα για /logon.aspx ή /default.aspx με έναν συγκεκριμένο κωδικό πρόσβασης παραμέτρου, ο οποίος του επιτρέπει να αποκρυπτογραφεί και να εκτελεί κώδικα .NET όταν βρεθεί αντιστοίχιση κωδικού πρόσβασης.
Ο κώδικας παρέχει δυνατότητες διαμεσολάβησης και απομακρυσμένης εκτέλεσης κώδικα, που επιτρέπει στους χειριστές κακόβουλου λογισμικού να επικοινωνούν με εσωτερικούς πόρους που συνήθως αποκλείονται από την πρόσβαση στο διαδίκτυο, καθώς και να εκτελούν κώδικα απευθείας στη μνήμη χρησιμοποιώντας δημιουργημένα αιτήματα HTTP.
«Αυτά τα αιτήματα επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα και τη διαμεσολάβηση σε εσωτερικά συστήματα με μυστικό τρόπο. Δεν θα εκτελούνται αρχεία ή ύποπτες διεργασίες στο σύστημα, καθιστώντας το Frebniis έναν σχετικά μοναδικό και σπάνιο τύπο κερκόπορτας HTTP που εμφανίζεται στη φύση», καταλήγει η Symantec.
Η εταιρεία κυβερνοασφάλειας λέει ότι το Frebniis έχει χρησιμοποιηθεί από έναν άγνωστο παράγοντα απειλών σε επιθέσεις που στοχεύουν οντότητες στην Ταϊβάν.