El malware Frebniis abusa de la característica de Microsoft IIS

Iniciado por AXCESS, Febrero 21, 2023, 12:14:20 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 21, 2023, 12:14:20 AM Ultima modificación: Febrero 23, 2023, 02:53:17 AM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de Broadcom Symantec han detectado un nuevo malware, rastreado como Frebniis, que abusa de Microsoft Internet Information Services (IIS) para implementar una puerta trasera y monitorear todo el tráfico HTTP al sistema infectado, informa Symantec.

El código malicioso fue empleado en ataques contra objetivos en Taiwán por un actor de amenazas actualmente desconocido.

"La técnica utilizada por Frebniis consiste en inyectar código malicioso en la memoria de un archivo DLL (iisfreb.dll) relacionado con una función de IIS utilizada para solucionar problemas y analizar solicitudes de páginas web fallidas. Esto permite que el malware controle sigilosamente todas las solicitudes HTTP y reconozca las solicitudes HTTP especialmente formateadas enviadas por el atacante, lo que permite la ejecución remota de código".

"Para usar esta técnica, un atacante necesita obtener acceso al sistema Windows que ejecuta el servidor IIS por algún otro medio. En este caso particular, no está claro cómo se logró este acceso". Symantec

La función de IIS de almacenamiento en búfer de eventos de solicitud fallida (FREB) recopila datos y detalles sobre las solicitudes, como encabezados HTTP con cookies, la dirección IP y el puerto de origen, etc.

Se puede utilizar una función llamada Rastreo de solicitudes fallidas para solucionar problemas de solicitudes fallidas de IIS. Frebniis garantiza que el seguimiento de solicitudes fallidas esté habilitado como parte del ataque, luego accede a la memoria del proceso w3wp.exe (IIS), obteniendo la dirección donde se carga el código de almacenamiento en búfer de eventos de solicitudes fallidas (iisfreb.dll).

Una vez obtenida la dirección de inicio del código para la función, el malware Frebniis busca desde allí una tabla de puntero de función para secuestrar la ejecución del código y lograr la ejecución de su código malicioso.

"Los autores de Frebniis han determinado que iiscore.dll llama a un puntero de función particular dentro de iisfreb.dll cada vez que se realiza una solicitud HTTP a IIS desde un cliente web".
"Frebniis secuestra esta función inyectando su propio código malicioso en la memoria del proceso IIS y luego reemplazando este puntero de función con la dirección de su propio código malicioso".

Frebniis analiza todas las solicitudes de /logon.aspx o /default.aspx con una contraseña de parámetro específica, lo que le permite descifrar y ejecutar código .NET cuando se encuentra una coincidencia de contraseña.

El código malicioso analiza todas las solicitudes HTTP POST recibidas para /logon.aspx o /default.aspx junto con una contraseña de parámetro establecida en '7ux4398!'. Al hacer coincidir la contraseña, el malware descifra y ejecuta la puerta trasera principal incluida en una sección del código inyectado. La puerta trasera es un código ejecutable .NET. Los expertos señalaron que el malware no guarda los ejecutables en el disco, lo que lo hace completamente sigiloso.

La puerta trasera implementa la funcionalidad de proxy y la ejecución remota de código.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El código proporciona capacidades de ejecución de código remoto y proxy, lo que permite a los operadores de malware comunicarse con recursos internos que normalmente tienen bloqueado el acceso a Internet, así como ejecutar código directamente en la memoria mediante solicitudes HTTP diseñadas.

"Estas solicitudes permiten la ejecución remota de código y la transmisión a sistemas internos de manera sigilosa. No se ejecutarán archivos ni procesos sospechosos en el sistema, lo que convierte a Frebniis en un tipo de puerta trasera HTTP relativamente único y raro que se ve en la naturaleza", concluye Symantec.

La compañía de ciberseguridad dice que Frebniis ha sido utilizado por un actor de amenazas desconocido en ataques dirigidos a entidades en Taiwán.

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario