| Автор |
Сообщение |
Romanukjr ®
Uploader 100+
Стаж: 13 лет 3 мес.
Сообщений: 1065
Ratio: 771.017
Раздал: 189.7 TB
Поблагодарили: 8176
67.46%
Откуда: Москва
|
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
|
|
|
 |
growol
Только чтение
Стаж: 10 мес. 25 дней
Сообщений: 1250
Ratio: 1.937
100%
|
бедная винда ака решето. В новостях то там, то здесь читаешь как мелкие тащат у линукса и вообще опенсурса все что только можно чтобы уменьшить колличество своих дыр или хотя бы затруднить их использование. Особенно умиляют новости как про eBPF, где мелкософт решил не писать с нуля свою реализацию, а просто портировать уже готовую ) Я уже молчу про опенсурсный андроид в виртуальной машине в коммерческой винде.
- Построишь?
- Куплю! (сворую)
Как говорил мой учитель много лет назад man weist ja nich wie viele linux steckt schon in windows )) |
|
|
|
|
Swift
Стаж: 16 лет 2 мес.
Сообщений: 817
Ratio: 174.367
100%
|
Кто ещё в этом сомневался. Следят все Alphabet, Nvidia и т.д. |
|
|
|
|
zveronline
Стаж: 12 лет 4 мес.
Сообщений: 51
Ratio: 40.487
Раздал: 142.4 TB
100%
Откуда: Киров
|
всмысле бэкдор, это же и есть сама windows. |
|
|
|
|
lve55
Олигарх+
Стаж: 13 лет 5 мес.
Сообщений: 1202
Ratio: 19.011
Раздал: 9.527 TB
Поблагодарили: 4923
100%
Откуда: Петроград - Ленинград
|
Будем писать свои индивидуальные ОС, каждый под свои нужды. Ставить свои сервера в кладовках, и собирать свои компьютеры, как в конце 80-х. Создавать свои локальные интернеты.
И всё станет опять на круги своя, "Что было, то и теперь есть, и что будет, то уже было,- и Бог воззовет прошедшее."- Книга Екклесиаста. |
_________________
"Сначала революция, потом - мир... С врагами нужно биться, а не соглашаться!"
Иосиф Виссарионович Сталин
|
|
|
|
kostyanuri4
Стаж: 6 лет 1 мес.
Сообщений: 16
Ratio: 6.298
2.04%
|
Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей.
При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
|
|
|
|
herezad
Стаж: 11 лет 9 мес.
Сообщений: 2684
Ratio: 29.252
Поблагодарили: 57986
100%
|
никогда такого не было и вот опять!  |
_________________ Мы не бандиты! Мы - Благородные Пираты! 
В связи с санкциями, всё скачанное считать трофеем! Это же так по - Человечески! |
|
|
|
bablzz
Стаж: 13 лет 11 мес.
Сообщений: 2167
Ratio: 12.635
Поблагодарили: 3
100%
Откуда: Искривлённое пространство
|
Даже в абсолютно пустой и стерильной комнате, если очень постараться и хорошо поискать, то что ни будь, да найдёшь... |
|
|
|
|
megaton1
Только чтение
Стаж: 3 года 10 мес.
Сообщений: 447
Ratio: 10.877
100%
Откуда: Нет лучше, чем Россия!
|
Все обновления, которые выпускают в Windows - это шпионские винтики присасывающиеся к вашей системе. Работаю на Win10 (x64) - 1607 более 9-ти лет, в реестре запретил системе обновляться. Никаких зависаний системы на SSD диске нет. Все обновы для системы никак не улучшают её работу, а наоборот, делают систему громоздкой неповоротливой и зависающей. |
|
|
|
|
growol
Только чтение
Стаж: 10 мес. 25 дней
Сообщений: 1250
Ratio: 1.937
100%
|
kostyanuri4
безопасность всегда была и есть на первом месте. В принципе можно отрубить антивирусы, дефендеры, файерволлы, блокировщики и [хз] что еще и просто все игнорировать. Пребывать в счастливом неведении как младенец. Как плюс никакой сторонней нагрузки на процессор ) Наверное 90% хакнутых и так не знают, что их поимели |
|
|
|
|
Kotikys
Стаж: 7 лет 11 мес.
Сообщений: 22
Ratio: 0.809
0.98%
|
ну да как обычно дибилы схавают  |
|
|
|
|
golliaf82
Стаж: 10 лет 2 мес.
Сообщений: 57
Ratio: 3.013
0%
|
Это есть и было в каждой новой версии операционной системы, сами разработчики делают лазейки для скрытого управления или извлечения данных, а когда кто то заметил, уже звучит по другому... |
|
|
|
|
atrowbalk
Стаж: 1 год 3 мес.
Сообщений: 51
Ratio: 5.839
0%
|
Почитал комментарии. Получается, что недавний шифровальщик esxi (Linux по сути) - это что-то трагическое и святое, но проблема в IIS - это "винде капец"? |
|
|
|
|
Jackers
Только чтение
Стаж: 6 лет 5 мес.
Сообщений: 875
Ratio: 3.241
86.96%
|
atrowbalk писал(а):  | проблема в IIS - это "винде капец"? |
Вряд ли - нужные рутовые права, чтобы эксплуатировать данную уязвимость. О чем и пишут сами исследователи. |
|
|
|
|
growol
Только чтение
Стаж: 10 мес. 25 дней
Сообщений: 1250
Ratio: 1.937
100%
|
| atrowbalk писал(а): | esxi |
esxi базируется на линухе? Впрочем неважно, потому как сравнение сервера с виртуальной машиной слишком притянуто за уши. И потом эта дыра только капля в море И на линуксе есть уязвимости но, во-первых они закрываются гораздо быстрее, во-вторых заюзать дыру на винде совсем не то что на линуксе. |
|
|
|
|
|
|
