先是苹果,后是微软,这个星期不太平呀!
前两天苹果出了个 0Day, 今天微软又爆了个后门。我们来看看,这个叫 Frebniis 的新恶意软件是怎么滥用 Microsoft IIS 功能建立后门。
Broadcom Software 旗下的赛门铁克发现了一种新的恶意软件,它滥用 Microsoft 的 Internet 信息服务 (IIS) 的一项功能,在目标系统上部署后门。
该恶意软件被称为 Frebniis,目前未知的威胁行为者使用它来攻击台湾的目标。
Frebniis 使用的技术涉及将恶意代码注入与 IIS 功能相关的 DLL 文件 (iisfreb.dll) 的内存中,该 IIS 功能用于对失败的网页请求进行故障排除和分析。 这允许恶意软件偷偷监视所有 HTTP 请求并识别攻击者发送的特殊格式的 HTTP 请求,从而允许远程代码执行。 为了使用这种技术,攻击者需要通过其他方式获得对运行 IIS 服务器的 Windows 系统的访问权限。 在这种特殊情况下,尚不清楚这种访问是如何实现的。
IIS 是在 Windows 系统上运行的通用 Web 服务器,用于提供请求的 HTML 页面或文件。 IIS Web 服务器接受来自远程客户端计算机的请求并返回适当的响应。 IIS 具有称为失败请求事件缓冲 (FREB) 的功能,可收集有关请求的数据和详细信息,例如原始 IP 地址和端口、带有 cookie 的 HTTP 标头等。
称为失败请求跟踪的功能可用于对 IIS 失败请求进行故障排除。 失败请求跟踪缓冲请求的跟踪事件,如果请求满足用户设置的“失败”定义,则将它们刷新到磁盘。 例如,失败的请求跟踪可用于了解请求返回特定 HTTP 状态代码(401 或 404 等)的原因,或者请求处理时间过长或未响应的原因。
Frebniis 确保启用失败请求跟踪,然后访问 w3wp.exe (IIS) 进程内存,获取加载失败请求事件缓冲代码 (iisfreb.dll) 的地址。 通过这个代码起始地址,Frebniis 从那里搜索一个函数指针表来劫持代码执行。
Frebniis 的作者已经确定,每当从 Web 客户端向 IIS 发出任何 HTTP 请求时,iiscore.dll 都会调用 iisfreb.dll 中的特定函数指针。 此函数通常检查 HTTP 请求的内容是否符合失败请求跟踪规则。
Frebniis 恶意注入代码解析所有收到的 /logon.aspx 或 /default.aspx HTTP POST 请求以及设置为“7ux4398!”的参数密码。 如果密码匹配,Frebniis 会解密并执行注入代码的一部分,这是包含主要后门功能的 .NET 可执行代码。 在此过程中没有可执行文件保存到磁盘,使后门完全隐蔽。
.NET 代码提供代理功能和远程代码执行,由提供的第二个 HTTP 参数控制,该参数是 Base64 编码的字符串。
为启用代理,编码字符串先进行 Base64 解码,然后解密 (xor 0x08),第一个字符表示代理命令,后跟预期参数。 代理用于发送和接收来自其他计算机系统的 Base64 编码数据。 这允许攻击者通过受感染的 IIS 服务器与通常可能被 Internet 阻止的内部资源进行通信。
.NET 后门代码还支持远程执行。 如果在没有密码参数的情况下收到对 logon.aspx 或 default.aspx 的 HTTP 调用,但使用 Base64 字符串,则假定 Base64 字符串是将直接在内存中执行的 C# 代码。 Base64 字符串被解码然后解密 (xor 0x08),预计是一个 XML 文档,其中包含要在 'data' 属性下的 '/doc' 节点中执行的 C# 代码(例如 <doc data=C# code>) . 提取并执行 C# 代码。 这使得 Frebniis 可以在系统上秘密执行任意代码。
通过劫持和修改 IIS Web 服务器代码,Frebniis 能够拦截 HTTP 请求处理的常规流程并寻找特殊格式的 HTTP 请求。 这些请求允许远程代码执行和以隐秘方式代理到内部系统。 系统上不会运行任何文件或可疑进程,这使得 Frebniis 成为一种相对独特且罕见的 HTTP 后门类型。
6464f9a5da26aa53fb2221255e908fd4da8edf0633f94051beee74a14b9b001c – 后门.Frebniis
b81c177c440e84635f22dc97b0411de93a24a983a41af676ffbbb4439487aaef – Backdoor.Frebniis
该恶意软件被称为 Frebniis,目前未知的威胁行为者使用它来攻击台湾的目标。
Frebniis 使用的技术涉及将恶意代码注入与 IIS 功能相关的 DLL 文件 (iisfreb.dll) 的内存中,该 IIS 功能用于对失败的网页请求进行故障排除和分析。 这允许恶意软件偷偷监视所有 HTTP 请求并识别攻击者发送的特殊格式的 HTTP 请求,从而允许远程代码执行。 为了使用这种技术,攻击者需要通过其他方式获得对运行 IIS 服务器的 Windows 系统的访问权限。 在这种特殊情况下,尚不清楚这种访问是如何实现的。
IIS 是在 Windows 系统上运行的通用 Web 服务器,用于提供请求的 HTML 页面或文件。 IIS Web 服务器接受来自远程客户端计算机的请求并返回适当的响应。 IIS 具有称为失败请求事件缓冲 (FREB) 的功能,可收集有关请求的数据和详细信息,例如原始 IP 地址和端口、带有 cookie 的 HTTP 标头等。
称为失败请求跟踪的功能可用于对 IIS 失败请求进行故障排除。 失败请求跟踪缓冲请求的跟踪事件,如果请求满足用户设置的“失败”定义,则将它们刷新到磁盘。 例如,失败的请求跟踪可用于了解请求返回特定 HTTP 状态代码(401 或 404 等)的原因,或者请求处理时间过长或未响应的原因。
Frebniis 确保启用失败请求跟踪,然后访问 w3wp.exe (IIS) 进程内存,获取加载失败请求事件缓冲代码 (iisfreb.dll) 的地址。 通过这个代码起始地址,Frebniis 从那里搜索一个函数指针表来劫持代码执行。
Frebniis 的作者已经确定,每当从 Web 客户端向 IIS 发出任何 HTTP 请求时,iiscore.dll 都会调用 iisfreb.dll 中的特定函数指针。 此函数通常检查 HTTP 请求的内容是否符合失败请求跟踪规则。
Frebniis 恶意注入代码解析所有收到的 /logon.aspx 或 /default.aspx HTTP POST 请求以及设置为“7ux4398!”的参数密码。 如果密码匹配,Frebniis 会解密并执行注入代码的一部分,这是包含主要后门功能的 .NET 可执行代码。 在此过程中没有可执行文件保存到磁盘,使后门完全隐蔽。
.NET 代码提供代理功能和远程代码执行,由提供的第二个 HTTP 参数控制,该参数是 Base64 编码的字符串。
为启用代理,编码字符串先进行 Base64 解码,然后解密 (xor 0x08),第一个字符表示代理命令,后跟预期参数。 代理用于发送和接收来自其他计算机系统的 Base64 编码数据。 这允许攻击者通过受感染的 IIS 服务器与通常可能被 Internet 阻止的内部资源进行通信。
.NET 后门代码还支持远程执行。 如果在没有密码参数的情况下收到对 logon.aspx 或 default.aspx 的 HTTP 调用,但使用 Base64 字符串,则假定 Base64 字符串是将直接在内存中执行的 C# 代码。 Base64 字符串被解码然后解密 (xor 0x08),预计是一个 XML 文档,其中包含要在 'data' 属性下的 '/doc' 节点中执行的 C# 代码(例如 <doc data=C# code>) . 提取并执行 C# 代码。 这使得 Frebniis 可以在系统上秘密执行任意代码。
通过劫持和修改 IIS Web 服务器代码,Frebniis 能够拦截 HTTP 请求处理的常规流程并寻找特殊格式的 HTTP 请求。 这些请求允许远程代码执行和以隐秘方式代理到内部系统。 系统上不会运行任何文件或可疑进程,这使得 Frebniis 成为一种相对独特且罕见的 HTTP 后门类型。
6464f9a5da26aa53fb2221255e908fd4da8edf0633f94051beee74a14b9b001c – 后门.Frebniis
b81c177c440e84635f22dc97b0411de93a24a983a41af676ffbbb4439487aaef – Backdoor.Frebniis
关于作者
评论4次
就是iis 后门呗 基于dll的 这个是已经拿下xi统的情况下实现的
没有永远安全的xi统,网络安全的研究,就像盾与矛的交锋,没有止息
还有安全的地方吗??
可不是吗。就是安全隐患的强弱有不同而已。
还有安全的地方吗??