Автор |
Сообщение |
Romanukjr ®
Uploader 100+
Стаж: 14 лет 4 мес.
Сообщений: 1712
Ratio: 1363.206
Раздал: 328.2 TB
Поблагодарили: 14636
70%
Откуда: Москва
|
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
|
|
|
|
growol
Стаж: 1 год 11 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
JarosStar писал(а): | IIS |
он имеет смысл в основном для net технологий. Я с ним имел дело пару раз, писал сайт на asp.net. Но это было давно |
|
|
|
iBigBadWolf
Стаж: 8 лет 4 мес.
Сообщений: 767
Ratio: 355.914
Поблагодарили: 660
100%
Откуда: местный.
|
JarosStar писал(а): | А кто из присутствующих IIS хотя бы поднял раз? Реально — есть любители? У меня дружбы с ним не сложилось, бросил |
Я поднимал пару раз.... 1) Когда уверовал в Микрософт ФронтПейдж.... 2) Когда надо было, лет 5 назад, |
_________________ Дурак – такой же мыслитель, как и умный. Только мысли разные.
|
|
|
cbelkin
Стаж: 14 лет 11 мес.
Сообщений: 346
Ratio: 1612.976
100%
|
Бэкдор нужно чаще мыть, хозяйственным мылом и холодной водой. Микрософт у них панимаш. |
|
|
|
Sompremium_Som_Design
Предупреждений: 1
Стаж: 1 год 2 мес.
Сообщений: 84
Ratio: 0.034
5.8%
|
А сколько еще не нашли... |
|
|
|
OLqqq
Стаж: 16 лет 10 мес.
Сообщений: 844
Ratio: 4.901
Поблагодарили: 1655
100%
|
kostyanuri4 писал(а): | Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей. При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
Эм... А как называется болезнь - отрицание очевидного? |
|
|
|
alex12nnm
Только чтение
Стаж: 11 лет 7 мес.
Сообщений: 1876
Ratio: 0.579
100%
|
|
|
Steel_Cat
Стаж: 16 лет 6 мес.
Сообщений: 1230
Ratio: 403.535
Поблагодарили: 24107
100%
Откуда: Питер
|
kostyanuri4 писал(а): | Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей. При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
"Если вы параноик, это не значит что за вами вообще никто не следит" (с) Добавлено спустя 3 минуты 48 секунд: JarosStar писал(а): | А кто из присутствующих IIS хотя бы поднял раз? Реально — есть любители? У меня дружбы с ним не сложилось, бросил |
Только как необходимый компонент чего-то сугубо мелкомягкого - что представляет собой "вещь в себе" и не работает ни с какими другими WEB-серверами. Как правило это компоненты разных больших корпоративных решений на платформе MS. Holy Shit! |
_________________ -= The Stainless Steel Cat =-
|
|
|
|
|
|