ΤΕΛΕΥΤΑΙΑ ΝΕΑ

Eρευνητές ανακαλύπτουν backdoor των Windows που δεν ανιχνεύεται εύκολα


 

    Το Frebniis καταχράται το Microsoft IIS για να μεταφέρει παράνομα κακόβουλες εντολές

Ερευνητές ανακάλυψαν ένα έξυπνο κομμάτι κακόβουλου λογισμικού που διεγείρει κρυφά δεδομένα και εκτελεί κακόβουλο κώδικα από συστήματα Windows, κάνοντας κατάχρηση μιας δυνατότητας στις υπηρεσίες πληροφοριών Internet της Microsoft (IIS - Internet Information Services).

Ο IIS είναι ένας διακομιστής ιστού γενικής χρήσης που εκτελείται σε συσκευές Windows. Ως διακομιστής ιστού, δέχεται αιτήματα από απομακρυσμένους πελάτες και επιστρέφει την κατάλληλη απάντηση. Τον Ιούλιο του 2021, η εταιρεία πληροφοριών δικτύου Netcraft είπε ότι υπήρχαν 51,6 εκατομμύρια συστήματα με IIS κατανεμημένα σε 13,5 εκατομμύρια μοναδικούς τομείς.

Οι υπηρεσίες IIS προσφέρουν μια δυνατότητα που ονομάζεται Failed Request Event Buffering (FREB) που συλλέγει μετρήσεις και άλλα δεδομένα σχετικά με αιτήματα ιστού που λαμβάνονται από απομακρυσμένους πελάτες. Οι διευθύνσεις IP πελάτη και οι κεφαλίδες θύρας και HTTP με cookies είναι δύο παραδείγματα των δεδομένων που μπορούν να συλλεχθούν. Το FREB βοηθά τους διαχειριστές να αντιμετωπίσουν αποτυχημένα αιτήματα ιστού ανακτώντας αυτά που πληρούν ορισμένα κριτήρια από ένα buffer και γράφοντάς τα στο δίσκο. Ο μηχανισμός μπορεί να βοηθήσει στον προσδιορισμό της αιτίας των σφαλμάτων 401 ή 404 ή στην απομόνωση της αιτίας των αιτημάτων που έχουν σταματήσει ή ακυρώνονται.

Οι εγκληματίες χάκερ έχουν καταλάβει πώς να κάνουν κατάχρηση αυτής της δυνατότητας FREB για να διακινήσουν και να εκτελέσουν κακόβουλο κώδικα σε προστατευμένες περιοχές ενός ήδη παραβιασμένου δικτύου. Οι χάκερ μπορούν επίσης να χρησιμοποιήσουν το FREB για να διεισδύσουν δεδομένα από τις ίδιες προστατευμένες περιοχές. Επειδή η τεχνική συνδυάζεται με νόμιμα αιτήματα eeb, παρέχει έναν κρυφό τρόπο για περαιτέρω είσοδο στο παραβιασμένο δίκτυο.

Το κακόβουλο λογισμικό ονομάστηκε Frebniis από ερευνητές της Symantec, οι οποίοι ανέφεραν τη χρήση του την Πέμπτη. Το Frebniis πρώτα διασφαλίζει ότι το FREB είναι ενεργοποιημένο και στη συνέχεια παραλαμβάνει την εκτέλεσή του εισάγοντας κακόβουλο κώδικα στη μνήμη διεργασίας των υπηρεσιών IIS και προκαλώντας την εκτέλεσή του. Μόλις τοποθετηθεί ο κώδικας, το Frebniis μπορεί να επιθεωρήσει όλα τα αιτήματα HTTP που λαμβάνονται από τον διακομιστή IIS.

«Με την διείσδυση και την τροποποίηση του κώδικα διακομιστή ιστού IIS, το Frebniis είναι σε θέση να παρεμποδίσει την τακτική ροή του χειρισμού αιτημάτων HTTP και να αναζητήσει ειδικά διαμορφωμένα αιτήματα HTTP», έγραψαν οι ερευνητές της Symantec. «Αυτά τα αιτήματα επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα και τη διαμεσολάβηση σε εσωτερικά συστήματα κρυφά. Δεν θα εκτελούνται αρχεία ή ύποπτες διεργασίες στο σύστημα, καθιστώντας το Frebniis έναν σχετικά μοναδικό και σπάνιο τύπο HTTP backdoor."

Για να μπορέσει να λειτουργήσει το Frebniis, ένας εισβολέας πρέπει πρώτα να διεισδύσει στο σύστημα των Windows που εκτελεί τον διακομιστή IIS. Οι ερευνητές της Symantec δεν έχουν ακόμη καθορίσει πώς το κάνει αυτό ο Frebniis.

Το Frebniis αναλύει όλα τα αιτήματα HTTP POST χρησιμοποιώντας τα αρχεία logon.aspx ή default.aspx, τα οποία χρησιμοποιούνται για τη δημιουργία σελίδων σύνδεσης και την εξυπηρέτηση προεπιλεγμένων ιστοσελίδων, αντίστοιχα. Οι εισβολείς μπορούν να μεταφέρουν τα αιτήματα σε έναν μολυσμένο διακομιστή στέλνοντας ένα από αυτά τα αιτήματα και προσθέτοντας τον κωδικό πρόσβασης "7ux4398!" ως παράμετρο. Μόλις ληφθεί ένα τέτοιο αίτημα, ο Frebniis αποκρυπτογραφεί και εκτελεί τον κώδικα .Net που ελέγχει τις κύριες λειτουργίες του backdoor. Για να γίνει η διαδικασία πιο δύσκολη να ανιχνευτεί, ο κώδικας δεν αφήνει κανένα αρχείο στο δίσκο.

Ο κώδικας .NET εξυπηρετεί δύο σκοπούς. Πρώτον, παρέχει έναν διακομιστή μεσολάβησης που επιτρέπει στους εισβολείς να χρησιμοποιούν τον παραβιασμένο διακομιστή IIS για να αλληλεπιδρούν ή να επικοινωνούν με εσωτερικούς πόρους που διαφορετικά θα ήταν απρόσιτοι από το Διαδίκτυο. Ο παρακάτω πίνακας δείχνει τις εντολές που έχει προγραμματιστεί να εκτελεί:

 

COMMANDFUNCTION NAMEPARAMETERDESCRIPTION
1CreateConnectHost:PortConnect to a remote system for proxying, returns a UUID representing the remote system
2ReadScoketUuidRead a Base64 string from a remote system
3WritescoketUuid, Base64 stringWrite a Base64 string to a remote system
4CloseScoketUuidClose the connection

 

Ο δεύτερος σκοπός του κώδικα .Net είναι να επιτρέπει την απομακρυσμένη εκτέλεση κώδικα που παρέχεται από τον εισβολέα στον διακομιστή IIS. Στέλνοντας ένα αίτημα στα αρχεία logon.aspx ή default.aspx που περιλαμβάνει κώδικα γραμμένο σε C#, το Frebniis θα τον αποκωδικοποιήσει αυτόματα και θα τον εκτελέσει στη μνήμη. Για άλλη μια φορά, με την εκτέλεση του κώδικα απευθείας στη μνήμη, το backdoor είναι πολύ πιο δύσκολο να εντοπιστεί.

 

Fig3.webp

 

Δεν είναι σαφές πόσο ευρέως χρησιμοποιείται το Frebniis αυτή τη στιγμή. Η ανάρτηση παρέχει δύο file hashes που σχετίζονται με το backdoor, αλλά δεν εξηγεί πώς να μπορεί να γίνει αναζήτηση σε ένα σύστημα για την ανίχνευσή τους.

Δεν υπάρχουν σχόλια