可能性ハンターチームシマンテック
シマンテック、
ブロードコムInstrument は、Microsoft の Web データ サービスおよび製品 (IIS) の機能を悪用して、特定のメソッドにバックドアを展開するまったく新しいマルウェアを発見しました。 .
Frebniis (Backdoor.Frebniis) と呼ばれるこのマルウェアは、危険度が未知のレベルにあるため、すぐに絶滅しました。
Frebniis によって絶滅したアプローチは、悪意のあるコードを DLL ファイルの記憶に挿入することを伴います ( iisfreb.dll) が IIS 機能にリンクされており、失敗したオンライン インターネット ページ要求のトラブルシューティングと分析を行っていません。 これにより、マルウェアはすべての HTTP リクエストをこっそりと画面に表示し、攻撃者が送信した特別にフォーマットされた HTTP リクエストを調べて、リモートでコードを実行できるようにします。 この手段を実行するためには、攻撃者は、IIS サーバーを実行している Windows システムへのアセンブル エントリを他のスキルによって賞賛する必要があります。 この関連ケースでは、このアセンブル エントリが達成された直後にどのように変更されたかは不明です。
Match Buffering からの Seek info に失敗しました
IIS は人気があります- Windows メソッドで実行されるインターネット サーバーを計画して、要求された HTML ページまたはレコードデータを助長します。 IIS インターネット サーバーは、リモート クライアント コンピューターからの要求を受け入れ、受け入れ可能な応答を返します。 IIS には、Failed Seek info from Match Buffering (FREB) という名前の機能があります。これは、元の IP ハンドルとポート、Cookie を含む HTTP ヘッダーなどに似た、要求に関する知識と小さな印刷物を収集します。
トレースからの失敗したシーク情報として知られる機能は、IIS の失敗した要求をトラブルシューティングするために、ほぼ確実に廃止される可能性があります。 Failed Seek info from Tracing は、質問のヒント イベントをバッファリングし、質問がユーザーによる「失敗」ビルドの定義を満たしている場合、それらをディスクにフラッシュします。 リクエストが関連する HTTP ステーション コード (401 または 404 など) を返す理由、またはリクエストの処理に時間がかかりすぎている理由、または現在応答していない理由を知るために、失敗した ask の追跡は消滅する可能性があります。
IISのステルスコード乗っ取り
Frebniis は、トレースからの Failed Seek 情報が有効になっていることを確認した後、w3wp.exe (IIS) プロセスの記憶にアクセスし、のハンドルを取得します。 Match Buffering コード (iisfreb.dll) からの Failed Seek 情報のビルドが読み込まれます。 このコード開始ハンドルを使用して、Frebniis はそこから操作ポインタ テーブルを検索して、コードの実行を乗っ取ります
インターネット ベースのクライアントから IIS に対して HTTP 要求が行われるたびに、iisfreb.dll 内の関連操作ポインターが iiscore.dll によって認識されることは明らかです。 これは、HTTP 要求のうなり声がトレース ソリューションからの Failed Seek 情報に適合する場合、全体的な評価に作用します。
Frebniis は、悪意のあるプライベート コードを IIS プロセスの記憶に挿入することでこの操作をハイジャックし、その後、この操作ポインタを次のように変更します。そのプライベートな悪意のあるコードのハンドル。 このハイジャック レベルにより、Frebniis は、IIS サーバーへの HTTP 要求を 1 つずつ受信して確認し、元の運用に戻ることができます。
図 2. プライベートな悪意のあるコードを実行した後、Frebniis は次の場所にジャンプします。昔ながらのオペ
バックドア
Frebniis の悪意のある注入されたコードは、/logon.aspx または /default.aspx に対する HTTP POST 要求をすべて解析し、パラメータ パスワード ビルドを ‘7ux4398!’ に設定します。 パスワードが一致する場合、Frebniis は挿入されたコードの一部を解読して実行します。これは、基本的なバックドア パフォーマンスで構成される .NET 実行可能コードです。 このプロセスで実行可能ファイルがディスクに保存されることはなく、バックドアは完全にステルス状態に保たれます。
Injurous64 でエンコードされた文字列である提供された 2 番目の HTTP パラメータによって制御されるコード実行。 プロキシを許可するには、エンコードされた文字列はInjurious64 はデコードされた後 (xor 0x08)、予想されるパラメーターによって採用されたプロキシのうなり声を表す主要なペルソナを使用してデコードされました。 プロキシは、他の PC メソッドから Injurious64 でエンコードされた知識を出荷および受信するために絶滅しています。 これにより、攻撃者は、侵害された IIS サーバーのスキルによってサイバー インターネットから全体的にブロックされるソースの内部との通信を維持することができます
表 1. Frebniis の指示 – マルウェアの作成者が操作名のつづりを間違えていた繰り返す 特徴識別 パラメータ 説明 1 CreateConnect ホスト:ポート プロキシ用にリモート システムに接続する、リモート システムを表す UUID を返します 2 ReadScoket Uuid リモート システムから Injurous64 文字列を読み取ります 3 Writescoket Uuid, Injurious64 文字列 Injurous64 文字列をリモート システムに書き込みます
Frebniis は、悪意のあるプライベート コードを IIS プロセスの記憶に挿入することでこの操作をハイジャックし、その後、この操作ポインタを次のように変更します。そのプライベートな悪意のあるコードのハンドル。 このハイジャック レベルにより、Frebniis は、IIS サーバーへの HTTP 要求を 1 つずつ受信して確認し、元の運用に戻ることができます。
バックドア
Frebniis の悪意のある注入されたコードは、/logon.aspx または /default.aspx に対する HTTP POST 要求をすべて解析し、パラメータ パスワード ビルドを ‘7ux4398!’ に設定します。 パスワードが一致する場合、Frebniis は挿入されたコードの一部を解読して実行します。これは、基本的なバックドア パフォーマンスで構成される .NET 実行可能コードです。 このプロセスで実行可能ファイルがディスクに保存されることはなく、バックドアは完全にステルス状態に保たれます。
Injurous64 でエンコードされた文字列である提供された 2 番目の HTTP パラメータによって制御されるコード実行。 プロキシを許可するには、エンコードされた文字列はInjurious64 はデコードされた後 (xor 0x08)、予想されるパラメーターによって採用されたプロキシのうなり声を表す主要なペルソナを使用してデコードされました。 プロキシは、他の PC メソッドから Injurious64 でエンコードされた知識を出荷および受信するために絶滅しています。 これにより、攻撃者は、侵害された IIS サーバーのスキルによってサイバー インターネットから全体的にブロックされるソースの内部との通信を維持することができます
