Gli hacker stanno implementando un nuovo malware chiamato Frebniss sul servizio Internet Information Services (IIS) di Microsoft che esegue furtivamente i comandi inviati tramite richieste web. Frebniis è stato scoperto dal Threat Hunter Team di Symantec, che ha riferito che un attore di minacce sconosciuto lo sta attualmente utilizzando contro obiettivi con sede a Taiwan.
Microsoft IIS è un software per server Web che funge da server Web e piattaforma di hosting di app Web per servizi come Outlook sul Web per Microsoft Exchange. Negli attacchi visti da Symantec, gli hacker abusano di una funzionalità IIS chiamata Failed Request Event Buffering (FREB), responsabile della raccolta dei metadati delle richieste (indirizzo IP, intestazioni HTTP, cookie). Il suo scopo è aiutare gli amministratori del server a risolvere i codici di stato HTTP imprevisti o richiedere problemi di elaborazione.
Il malware inietta codice dannoso in una funzione specifica di un file DLL che controlla FREB (“iisfreb.dll“) per consentire all’aggressore di intercettare e monitorare tutte le richieste HTTP POST inviate al server ISS. Quando il malware rileva richieste HTTP specifiche inviate dall’aggressore, analizza la richiesta per determinare quali comandi eseguire sul server.
Il codice inserito è una backdoor .NET che supporta il proxy e l’esecuzione di codice C# senza mai toccare il disco, rendendolo completamente invisibile. Cerca le richieste effettuate alle pagine logon.aspx o default.aspx con un parametro di password specifico. Un secondo parametro HTTP, che è una stringa con codifica base64, istruisce Frebniis a comunicare ed eseguire comandi su altri sistemi tramite l’IIS compromesso, raggiungendo potenzialmente sistemi interni protetti che non sono esposti a Internet.
Il vantaggio principale dell’abuso del componente FREB per gli scopi descritti è l’elusione del rilevamento da parte degli strumenti di sicurezza. Questa backdoor HTTP univoca non lascia tracce o file e non crea processi sospetti sul sistema. Strumenti avanzati di monitoraggio del traffico di rete potrebbero anche aiutare a rilevare attività insolite da malware come Frebniis.