| Автор |
Сообщение |
Romanukjr ®
Uploader 100+
Стаж: 14 лет 4 мес.
Сообщений: 1713
Ratio: 1400.017
Раздал: 336.8 TB
Поблагодарили: 14669
70.03%
Откуда: Москва
|
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
|
|
|
 |
Grif-2009
Стаж: 13 лет 11 мес.
Сообщений: 181
Ratio: 6.172
100%
|
С одной стороны новость может показаться бесполезной, и даже безсмысленной ... потому что каждый крупный производитель оборудования и ПО оставляет за собой возможность получать доступ к управлению своим детищем или как минимум для оценки его состояния, это не только винды касается, такая возможность прошита во многие сложные микросхемы, иногда это просто диагностические возможности ... иногда нечто большее.
С другой стороны такие новости и подобные движения просто необходимы как часть бизнес процессов, они дают возможность видоизменять продукты ... не всегда в лучшую сторону но всё же.
Отключения обновлений ОС это не плохо и не хорошо ... если говорить в общем, если в частности то для одних такое принесёт вред, а для других пользу. Всё зависит от набора функций который нужен пользователю ... ну например для использования калькулятора обновление видеодрайвера и/или компонентов DirectX с оптимизацией трассировки лучей однозначно повлечет только лишнее захламление. Примеров можно привести массу, ОС часто рассчитана на универсальное применение и там действительно есть масса не нужных мусорных компонентов и реализаций для конкретного пользователя. Правильно настроить под себя систему сложно, да и всегда хочется иметь возможность не задумываясь лишний раз использовать функцию которой раньше не пользовался ... это и есть цена громоздкости и неповоротливости операционных систем широкого назначения. С этим можно мириться или пытаться что-то делать, но всегда универсальность тянет за собой какие либо излишки, которые до момента их использования по сути являются мусором. |
|
|
|
|
Jackers
Стаж: 7 лет 6 мес.
Сообщений: 1382
Ratio: 3.241
97.1%
|
atrowbalk, вы точно читали? | Цитата: | In order to use this technique, an attacker needs to gain access to the Windows system running the IIS server by some other means. |
|
|
|
|
|
atrowbalk
Только чтение
Стаж: 2 года 3 мес.
Сообщений: 218
Ratio: 8.811
0%
|
Jackers писал(а):  | atrowbalk, вы точно читали? | Цитата: | In order to use this technique, an attacker needs to gain access to the Windows system running the IIS server by some other means. |
|
Я не знаю английского. Вы можете перевести, что тут написано? |
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
atrowbalk
там написанно чтобы внедрить бэкдор нужен доступ к системе. Так понимаю это подразумевает любого юзера имеющего права на доступ к iis |
|
|
|
|
atrowbalk
Только чтение
Стаж: 2 года 3 мес.
Сообщений: 218
Ratio: 8.811
0%
|
| growol писал(а): | atrowbalk
там написанно чтобы внедрить бэкдор нужен доступ к системе. Так понимаю это подразумевает любого юзера имеющего права на доступ к iis |
И о каких root правах вы говорили? |
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
atrowbalk
я не говорил о правах админа которого все называют root ). Просто перевел текст |
|
|
|
|
atrowbalk
Только чтение
Стаж: 2 года 3 мес.
Сообщений: 218
Ratio: 8.811
0%
|
| growol писал(а): | atrowbalk
я не говорил о правах админа которого все называют root ). Просто перевел текст |
А в тексте есть что-то про админа? Я не вижу там ни первого слова, ни второго. |
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
atrowbalk
ну, каким-то же юзером вы должны лазить в системе ) Даже на ннм не приветствуются анонимы |
|
|
|
|
atrowbalk
Только чтение
Стаж: 2 года 3 мес.
Сообщений: 218
Ratio: 8.811
0%
|
| growol писал(а): | atrowbalk
ну, каким-то же юзером вы должны лазить в системе ) Даже на ннм не приветствуются анонимы |
Я могу ошибаться, так как не админ, но мне кажется, что локально на виндовый сервер зайти может только админ этого сервера. |
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
atrowbalk
И те кому админ эти права дал |
|
|
|
|
Jackers
Стаж: 7 лет 6 мес.
Сообщений: 1382
Ratio: 3.241
97.1%
|
| atrowbalk писал(а): |
А в тексте есть что-то про админа? Я не вижу там ни первого слова, ни второго.
|
В тексте есть слова "gain access to the Windows system". Под этим понимаются права, позволяющие модифицировать, исполнять файлы. | atrowbalk писал(а): |
Я могу ошибаться, так как не админ, но мне кажется, что локально на виндовый сервер зайти может только админ этого сервера.
|
Исследователи и пишут, что это отдельный вопрос: | Цитата: | In this particular case, it is unclear how this access was achieved. |
Как по мне, это, пожалуй, главный вопрос. |
|
|
|
|
Grif-2009
Стаж: 13 лет 11 мес.
Сообщений: 181
Ratio: 6.172
100%
|
| atrowbalk писал(а): |
Я могу ошибаться, так как не админ, но мне кажется, что локально на виндовый сервер зайти может только админ этого сервера.
|
Можете ошибаться ... как частный случай я например могу запустить сотни серверов на винде, к которым снаружи может иметь доступ кто угодо, если он знает куда и как правильно к ним обратиться. |
_________________
3950X, 64GB, SAPPHIRE 5700 XT NITRO+ SE
|
|
|
|
atrowbalk
Только чтение
Стаж: 2 года 3 мес.
Сообщений: 218
Ratio: 8.811
0%
|
Grif-2009
Любой, кто знает как обратиться к любой системе, получит к ней доступ. Разве нет? |
|
|
|
|
Artursan344
Стаж: 9 лет 2 мес.
Сообщений: 221
Ratio: 0.596
100%
|
В обычной Windows 10 службы IIS отключены по умолчанию, так что обычным пользователям можно по этому поводу не переживать.
Могу ошибаться ) |
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
Вы ушли в рассуждениях совсем мимо. Во первых любой юзер Вася пупкин может быть назначен админом быть администратором. Во-вторых есть уже vordefinierte юзеры и группы с уже существующими правами. Другое дело получить доступ к этому юзеру или повысить привелегии. Об этом речь |
|
|
|
|
|
|
