Frebniis بدافزاری از جنس HTTP

بدافزاری جدیدی از جنس HTTP توسط هکرها طراحی شده است که با استفاده از آن سرورهای IIS را هدف می‌گیرند.

هکرها در حال آلوده‌سازی سرورهای IIS به بدافزار جدیدی با عملکرد منحصربه‌فرد، با نام Frebniis هستند که فرامین ارسال شده از طریق درخواست‌های وب را اجرا می‌کند.

Microsoft Internet Information Service – به اختصار IIS – یک سرویس‌دهنده وب است که در نقش Web Server و یک بستر میزبانی برنامه‌های تحت وب در سرورهایی همچون Exchange استفاده می‌شود.

بر اساس گزارشی که شرکت Symantec آن را منتشر کرده در جریان این حملات، هکرها از یکی از ویژگی‌های IIS به نام Failed Request Event Buffering – به اختصار FREB – که مسئول جمع‌آوری درخواست‌های فراداده (نشانی IP، سرآیند HTTP، کوکی‌ها) است، سوء‌استفاده می‌کنند. راهبران سرورها از FREB برای عیب‌یابی کدهای غیرمنتظره HTTP یا مشکلات پردازشی مربوط به درخواست‌ها (Request) استفاده می‌کنند.

بدافزار، کدهای مخرب را به تابعی خاص (Function) تزریق می‌کند که در یک فایل DLL با نام iisfreb.dll که FREB را کنترل می‌کند تا مهاجم را قادر ‌سازد که تمامی درخواست‌های HTTP POST ارسال شده به سرور IIS را رهگیری و نظارت کند.

هنگامی که بدافزار درخواست‌های HTTP خاصی را که توسط مهاجمان ارسال شده، شناسایی می‌کند، درخواست را تحلیل کرده و بر اساس آن فرمانی را بر روی سرور اجرا می‌کند.

مهاجمان در جریان این حملات، ابتدا اقدام به هک سرور IIS به منظور در اختیار گرفتن کنترل ماژول FREB می‌کنند؛ در عین حال محققان Symantec ، موفق به شناسایی روش مورد استفاده مهاجمان برای دسترسی اولیه نشده‌اند.

کد تزریق شده یک درپشتی (Backdoor) مبتنی بر .NET است که از پروکسی شدن و اجرای کدهای C#، بدون نیاز به دسترسی به دیسک پشتیبانی می‌کند. کد مذکور به دنبال درخواست‌های ارسال ‌شده با پارامتر خاص رمز عبور به صفحات logon.aspx یا default.aspx است.

پارامتر دوم HTTP، یک رشته رمزگذاری شده base۶۴ است که به Frebniis دستور می‌دهد تا از طریق IIS هک شده با سیستم‌های دیگر ارتباط برقرار کرده و فرامین را اجرا کند. این پارامتر به طور بالقوه امکان نفود به سیستم‌های داخلی محافظت‌شده‌ سازمان را حتی اگر به اینترنت هم متصل نباشند فراهم می‌کند.

بدافزار Frebniis از فرامین زیر پشتیبانی می‌کند:

در گزارش Symantec عنوان شده چنانچه یک فراخوانی HTTP به logon.aspx یا default.aspx بدون پارامتر رمز عبور دریافت شود اما به صورت Base۶۴ رمزگذاری شده باشد، آن را به عنوان کدC# تلقی کرده و پس از رمزگشایی مستقیماً در حافظه اجرا می‌کند.

مزیت اصلی سوءاستفاده از مؤلفه FREB توسط این مهاجمان، دور زدن راهکارهای امنیتی است. این درب‌پشتی منحصربه‌فرد HTTP، هیچ رد یا فایلی از خود بر جای نمی‌گذارد و هیچ پروسه مشکوکی نیز در سیستم ایجاد نمی‌کند.

هر چند در گزارش Symantec ، روش نفوذ اولیه این مهاجمان به سرورهای IIS، ناشناخته اعلام شده است اما اطمینان از نصب کامل اصلاحیه‌های امنیتی بر روی سرورها توصیه اکید می‌شود.

ضمن آن که بکارگیری ابزارهای پیشرفته نظارت بر ترافیک شبکه نیز می‌تواند به شناسایی فعالیت غیرمعمول بدافزارهایی مانند Frebniis کمک کند.

منبع:

https://www.infosecurity-magazine.com/news/frebniis-malware-exploits/