| Автор |
Сообщение |
Romanukjr ®
Uploader 100+
Стаж: 14 лет 5 мес.
Сообщений: 1713
Ratio: 1411.686
Раздал: 339.5 TB
Поблагодарили: 14675
70.03%
Откуда: Москва
|
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
|
|
|
 |
growol
Стаж: 2 года
Сообщений: 1273
Ratio: 1.923
100%
|
бедная винда ака решето. В новостях то там, то здесь читаешь как мелкие тащат у линукса и вообще опенсурса все что только можно чтобы уменьшить колличество своих дыр или хотя бы затруднить их использование. Особенно умиляют новости как про eBPF, где мелкософт решил не писать с нуля свою реализацию, а просто портировать уже готовую ) Я уже молчу про опенсурсный андроид в виртуальной машине в коммерческой винде.
- Построишь?
- Куплю! (сворую)
Как говорил мой учитель много лет назад man weist ja nich wie viele linux steckt schon in windows )) |
|
|
|
|
Swift
Стаж: 17 лет 3 мес.
Сообщений: 824
Ratio: 167.626
100%
|
Кто ещё в этом сомневался. Следят все Alphabet, Nvidia и т.д. |
|
|
|
|
zveronline
Стаж: 13 лет 6 мес.
Сообщений: 52
Ratio: 75.628
Раздал: 285.3 TB
100%
Откуда: Киров
|
всмысле бэкдор, это же и есть сама windows. |
|
|
|
|
lve55
Олигарх+
Стаж: 14 лет 6 мес.
Сообщений: 1332
Ratio: 18.208
Раздал: 9.971 TB
Поблагодарили: 5184
100%
Откуда: Петроград - Ленинград
|
Будем писать свои индивидуальные ОС, каждый под свои нужды. Ставить свои сервера в кладовках, и собирать свои компьютеры, как в конце 80-х. Создавать свои локальные интернеты.
И всё станет опять на круги своя, "Что было, то и теперь есть, и что будет, то уже было,- и Бог воззовет прошедшее."- Книга Екклесиаста. |
_________________
"Сначала революция, потом - мир... С врагами нужно биться, а не соглашаться!"
Иосиф Виссарионович Сталин
|
|
|
|
kostyanuri4
Стаж: 7 лет 3 мес.
Сообщений: 27
Ratio: 8.083
1.55%
|
Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей.
При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
|
|
|
|
herezad
Стаж: 12 лет 10 мес.
Сообщений: 2809
Ratio: 27.466
Поблагодарили: 58448
100%
|
никогда такого не было и вот опять!  |
_________________ Мы не бандиты! Мы - Благородные Пираты! 
В связи с санкциями, всё скачанное считать трофеем! Это же так по - Человечески! |
|
|
|
bablzz
Стаж: 15 лет 1 мес.
Сообщений: 2246
Ratio: 11.045
Поблагодарили: 3
100%
Откуда: Искривлённое пространство
|
Даже в абсолютно пустой и стерильной комнате, если очень постараться и хорошо поискать, то что ни будь, да найдёшь... |
|
|
|
|
megaton1
Только чтение
Стаж: 4 года 11 мес.
Сообщений: 714
Ratio: 10.603
100%
Откуда: Нет лучше, чем Россия!
|
Все обновления, которые выпускают в Windows - это шпионские винтики присасывающиеся к вашей системе. Работаю на Win10 (x64) - 1607 более 9-ти лет, в реестре запретил системе обновляться. Никаких зависаний системы на SSD диске нет. Все обновы для системы никак не улучшают её работу, а наоборот, делают систему громоздкой неповоротливой и зависающей. |
|
|
|
|
growol
Стаж: 2 года
Сообщений: 1273
Ratio: 1.923
100%
|
kostyanuri4
безопасность всегда была и есть на первом месте. В принципе можно отрубить антивирусы, дефендеры, файерволлы, блокировщики и [хз] что еще и просто все игнорировать. Пребывать в счастливом неведении как младенец. Как плюс никакой сторонней нагрузки на процессор ) Наверное 90% хакнутых и так не знают, что их поимели |
|
|
|
|
golliaf82
Стаж: 11 лет 3 мес.
Сообщений: 133
Ratio: 2.988
0%
|
Это есть и было в каждой новой версии операционной системы, сами разработчики делают лазейки для скрытого управления или извлечения данных, а когда кто то заметил, уже звучит по другому... |
|
|
|
|
atrowbalk
Стаж: 2 года 4 мес.
Сообщений: 218
Ratio: 8.978
0%
|
Почитал комментарии. Получается, что недавний шифровальщик esxi (Linux по сути) - это что-то трагическое и святое, но проблема в IIS - это "винде капец"? |
|
|
|
|
Jackers
Стаж: 7 лет 6 мес.
Сообщений: 1382
Ratio: 3.241
97.1%
|
atrowbalk писал(а):  | проблема в IIS - это "винде капец"? |
Вряд ли - нужные рутовые права, чтобы эксплуатировать данную уязвимость. О чем и пишут сами исследователи. |
|
|
|
|
growol
Стаж: 2 года
Сообщений: 1273
Ratio: 1.923
100%
|
| atrowbalk писал(а): | esxi |
esxi базируется на линухе? Впрочем неважно, потому как сравнение сервера с виртуальной машиной слишком притянуто за уши. И потом эта дыра только капля в море И на линуксе есть уязвимости но, во-первых они закрываются гораздо быстрее, во-вторых заюзать дыру на винде совсем не то что на линуксе. |
|
|
|
|
atrowbalk
Стаж: 2 года 4 мес.
Сообщений: 218
Ratio: 8.978
0%
|
| Jackers писал(а): | | atrowbalk писал(а): | проблема в IIS - это "винде капец"? |
Вряд ли - нужные рутовые права, чтобы эксплуатировать данную уязвимость. О чем и пишут сами исследователи. |
Нет, этого они не пишут. |
|
|
|
|
|
|
