Классический форум-трекер
canvas not supported
Нас вместе: 4 232 043

В Windows нашли чрезвычайно скрытный бэкдор, который позволяет следить за всем трафиком


Страницы:   Пред.  1, 2, 3, 4, 5  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости
Автор Сообщение
Romanukjr ®
Uploader 100+
 
Стаж: 14 лет 4 мес.
Сообщений: 1712
Ratio: 1361.958
Раздал: 327.9 TB
Поблагодарили: 14636
70%
Откуда: Москва
nnm-club.gif
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.

IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.

Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.

Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
atrowbalk
Стаж: 2 года 3 мес.
Сообщений: 204
Ratio: 8.397
0%
russia.gif
Artursan344

Поднять на обычной Windows 10 публичный IIS, пустить на нее кого угодно... Выглядит безоспасно.
DemoNNM
Стаж: 1 год 1 мес.
Сообщений: 47
Ratio: 177.643
Поблагодарили: 955
100%
the_Marshall_Islands.gif
Artursan344 писал(а): Перейти к сообщению

В обычной Windows 10 службы IIS отключены по умолчанию, так что обычным пользователям можно по этому поводу не переживать.
Могу ошибаться )

Как и в любой другой версии Windows.

--------------

Заголовок оригинала:
Цитата:
New Malware Abuses Microsoft IIS Feature to Establish Backdoor

("Новое вредоносное ПО использует уязвимость в компоненте Microsoft IIS, чтобы установить бэкдор").
Заголовок "перевода:
Цитата:
В Windows нашли чрезвычайно скрытный бэкдор...

Мда...
atrowbalk
Стаж: 2 года 3 мес.
Сообщений: 204
Ratio: 8.397
0%
russia.gif
growol

Какая группа, включающая в себя учетные записи пользоваетелей по умолчанию, позволяет локальный вход на сервер? Я лично такой не знаю. Подскажите, пожалуйста.
Grif-2009
Стаж: 13 лет 10 мес.
Сообщений: 181
Ratio: 6.166
100%
atrowbalk писал(а): Перейти к сообщению
Grif-2009
Любой, кто знает как обратиться к любой системе, получит к ней доступ. Разве нет?

Можно и так сказать.

_________________
3950X, 64GB, SAPPHIRE 5700 XT NITRO+ SE
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
atrowbalk
Поставьте iss и посмотрите какие пользователи были созданы ещё dazu. Я выиграл

Зы неважно может ли юзер логиниться. Слышали про run as?)
paramedik1
Uploader 100+
 
Стаж: 14 лет 6 мес.
Сообщений: 4858
Ratio: 153.277
Поблагодарили: 2898
100%
ussr.gif
kostyanuri4 писал(а): Перейти к сообщению

Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей.
При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении.


"То, что у вас паранойя ещё не значит, что за вами не следят" (с).
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
paramedik1

Логично)
atrowbalk
Стаж: 2 года 3 мес.
Сообщений: 204
Ratio: 8.397
0%
russia.gif
growol
А во что мы играем? Я вот поставил. Вижу это
IIS_IUSRS
IUSR
DefaultAppPool
ASP.NET v4.0
NETWORK_SERVICE
LOCAL SERVICE

Никто из этих аккаунтов не имеет админских прав и под ними нельзя войти локально.
iRX
 
Стаж: 17 лет 2 мес.
Сообщений: 1215
Ratio: 8.118
100%
Откуда: Москва
russia.gif
Впереди нас ждет "счастливое" будущее, когда нейросети научатся использовать все уязвимости любого клиента, с квантовым движком это займет всего 1 минуту и просто погасят "свет" во всём интернете и заодно бахнут пром.оборудование, киоски, терминалы и т.п. Именно поэтому корпорации типа Microsoft тратят кучу нашего бабла чтоб не рухнуть одномоментно... Железо еще под это всё приходится модернизировать, а мы платим за их провалы тем же электричеством, которое "греет планету"... Так что не заморачивайтесь и выпиливайте полностью из системы "Защитник Windows" - официальный бэкдор к вашим файлам, есть отличный способ в пару движений выпилить его из Винды - DefenderKiller от всем известного Win10tweaker, причем это отдельный скрипт к программе от самого Хачатура "Fuck Windows Defender". С недавнего времени в Windows 11 встроили фишку что отключение Defender(а) "Защитника" с помощью самого Win10Tweaker либо "Defender Control v2.1" приводит к жутким тормозам в системе, так что остаётся только полное его выпиливание, после чего система начинает работать реактивно... Короче на эту тему можно бесконечно рассуждать, но выходные не для этого ;) Всем удачи! :выпивают:
araick
Стаж: 14 лет 6 мес.
Сообщений: 981
Ratio: 2.648
99.53%
armenia.gif
Я в шоке, не может этого быть!
Jackers
Стаж: 7 лет 5 мес.
Сообщений: 1382
Ratio: 3.241
97.1%
russia.gif
atrowbalk писал(а): Перейти к сообщению

Какая группа, включающая в себя учетные записи пользоваетелей по умолчанию, позволяет локальный вход на сервер?

Почему надо рассматривать только по умолчанию?
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
atrowbalk

Да при чем тут логин? В статье и говорится, перевожу на простой язык, неважно каким образом вы получите привилегии и доступ вам нужны права для iis. Проще говоря нужно взломать сервак или вежливо попросить у админа доступ чтобы ифицировать сервер. А ЕСЛИ АДМИН ДАЛ ВАМ АККАУНТ ПРОСТО ВАСИПУПКИНА ВЫ ЕГО НЕ ИНФИЦИРУЕТЕ)
Михаил
 
Стаж: 13 лет 2 мес.
Сообщений: 21356
Ratio: 22.972
100%
iRX писал(а): Перейти к сообщению
в пару движений выпилить его из Винды - DefenderKiller

iRX писал(а): Перейти к сообщению
к программе от самого Хачатура "Fuck Windows Defender"

Ну, вообще-то "выпилить" - это не "фак". ))
Prodif
 
Стаж: 14 лет 10 мес.
Сообщений: 354
Ratio: 144.977
Поблагодарили: 427
100%
qatar.gif
Состояния IIS по умолчанию в Win всё отключено .. ) Интрига окончена.
bablzz
Стаж: 15 лет
Сообщений: 2236
Ratio: 11.195
Поблагодарили: 3
100%
Откуда: Искривлённое пространство
ussr.gif
iRX писал(а): Перейти к сообщению
Впереди нас ждет "счастливое" будущее,

YouTube
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Компьютеры и комплектующие -> Компьютерные новости Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3, 4, 5  След.
Страница 3 из 5