Dans le contexte: Depuis le bon vieux NT 3.51 sorti en 1995, Windows a toujours inclus un serveur Web extensible appelé Internet Information Services (IIS). Bien qu’il ne soit pas actif par défaut, il peut ouvrir le système d’exploitation à des attaques externes comme celle récemment découverte par Symantec.

Backdoor.Frebniis, ou simplement Frebniis, est un nouveau malware furtif découvert par les chercheurs de Symantec qui leviers une vulnérabilité dans IIS pour mettre une porte dérobée dans les serveurs Web Windows. Des cybercriminels inconnus ont activement exploité des cibles à Taïwan. Pour infecter un système, les pirates doivent d’abord accéder à un serveur IIS. Les analystes de Symantec n’ont pas encore découvert comment les attaquants ont obtenu l’accès initial.

Cependant, le fonctionnement interne du malware est unique. Frebniis abuse d’une fonctionnalité connue sous le nom de Failed Request Event Buffering (FREB), qu’IIS utilise pour collecter des données et des détails sur les demandes, y compris l’adresse IP et le port d’origine, les en-têtes HTTP avec cookies, etc. Les données collectées peuvent ensuite aider les administrateurs à résoudre les demandes ayant échoué. , en découvrant les raisons des codes d’état HTTP spécifiques. Une autre fonctionnalité, Failed Request Tracing (FRT), permet aux administrateurs de déterminer pourquoi une demande de connexion prend plus de temps à traiter qu’elle ne le devrait.

2023 02 17 image 14

Frebniis s’assure d’abord que la fonctionnalité FRT est activée, puis accède à la mémoire de processus du serveur IIS avant de finalement détourner le code FREB avec le module malveillant iisfreb.dll. Le logiciel malveillant prend la place du fichier FREB d’origine, de sorte que Frebniis peut recevoir et inspecter “furtivement” chaque requête HTTP du serveur IIS.

Si une requête HTTP POST spéciale est reçue, Frebniis déchiffre et exécute le code .NET original de la porte dérobée injecté dans la mémoire FREB. Une fois active en mémoire, la porte dérobée peut recevoir des commandes à distance ou même exécuter du code malveillant.

L’exécution à distance est obtenue en interprétant toute chaîne reçue encodée en Base64, que la porte dérobée suppose être du code C# exécutable, pour qu’elle s’exécute directement en mémoire. De cette façon, Frebniis évite d’enregistrer des données en tant que fichier réel sur le disque, en travaillant de manière totalement furtive.

Symantec note que Frebniis est une porte dérobée basée sur HTTP relativement unique rarement vue dans la nature. Le malware a deux hachages qui le réservent pour la détection. La société conseille d’avoir les dernières définitions de virus et de logiciels malveillants dans la suite de protection Symantec (ou toute autre) pour bloquer Frebniis.