Bilgisayar korsanları, Microsoft'un İnternet Bilgi Hizmetleri'ne (IIS) 'FreBniss' adlı yeni bir kötü amaçlı yazılım kullanıyor ve bu da Web istekleri aracılığıyla gönderilen komutları gizlice yürütüyor.
Frebniis, bilinmeyen bir tehdit oyuncunun şu anda Tayvan merkezli hedeflere karşı kullandığını bildiren Symantec'in tehdit avcısı ekibi tarafından keşfedildi.
Microsoft IIS, Microsoft Exchange Web'de Outlook gibi hizmetler için bir web sunucusu ve bir web uygulaması barındırma platformu görevi gören bir web sunucusu yazılımıdır.
Symantec tarafından görülen saldırılarda, bilgisayar korsanları 'Başarısız İstek Etkinlik Tamponlama' (FREB) adlı bir IIS özelliğini kötüye kullanır, istek meta verilerini (IP adresi, HTTP başlıkları, çerezler) toplamaktan sorumludur. Amacı, sunucu yöneticilerinin beklenmedik HTTP durum kodlarında sorun gidermesine yardımcı olmak veya işleme sorunları istemektir.
Kötü amaçlı yazılım, saldırganın ISS sunucusuna gönderilen tüm HTTP posta isteklerini kesmesini ve izlemesini sağlamak için FREB'yi ("iisfreb.dll") kontrol eden bir DLL dosyasının belirli bir işlevine kötü amaçlı kod enjekte eder. Kötü amaçlı yazılım belirli HTTP taleplerini algıladığında, saldırganın göndermesini talep eder, sunucuda hangi komutların yürütüleceğini belirleme isteğini ayrıştırır.
Symantec, tehdit aktörlerinin önce FREB modülünü tehlikeye atmak için bir IIS sunucusunu ihlal etmeleri gerektiğini, ancak başlangıçta erişim kazanmak için kullanılan yöntemi belirleyemediklerini söylüyor.
Enjekte edilen kod, diske dokunmadan proxy ve C# kod yürütmeyi destekleyen bir .NET arka kapısıdır ve tamamen gizli hale getirir. Belirli bir şifre parametresine sahip Logon.aspx veya Varsayılan.aspx sayfalarında yapılan istekleri arar.
Base64 kodlu bir dize olan ikinci bir HTTP parametresi, FreBniis'e tehlikeye atılan II'ler aracılığıyla diğer sistemlerde komutları iletişim kurmasını ve yürütmesini, potansiyel olarak İnternet'e maruz kalmayan korumalı dahili sistemlere ulaşmasını söyler.
Kötü amaçlı yazılım aşağıdaki komutları destekler:
Synantec'in raporu, "Parola parametresi olmadan Logon.aspx veya Varsayılan.aspx'e bir HTTP çağrısı alınıyorsa, ancak Base64 dizesi ile, Base64 dizesinin doğrudan bellekte yürütülecek C# kodu olduğu varsayılır."
"Base64 dizesi kod çözülür ve daha sonra çözülür (XOR 0x08) ve 'Veri' özniteliği (ör.) Altındaki '/DOC' düğümünde yürütülecek C# koduyla bir XML belgesi olması beklenir."
FREB bileşenini açıklanan amaçlar için kötüye kullanmanın temel avantajı, güvenlik araçlarından algılamadan kaçınmadır. Bu benzersiz HTTP arka kapı iz veya dosya bırakmaz ve sistemde şüpheli işlemler oluşturmaz.
İlk uzlaşma yolu bilinmemekle birlikte, bilgisayar korsanlarının bilinen güvenlik açıklarından yararlanma şansını en aza indirmek için yazılımınızın güncellenmesi önerilir.
Gelişmiş ağ trafik izleme araçları, Freebniis gibi kötü amaçlı yazılımlardan olağandışı etkinliklerin tespit edilmesine de yardımcı olabilir.
Ekim 2022'de Symantec, Cranefly Hacking Grubu tarafından kullanılan başka bir kötü amaçlı yazılım keşfetti.
Yeni qaknote saldırıları Microsoft Onenote Dosyaları aracılığıyla QBOT kötü amaçlı yazılımları zorladı
Bilgisayar korsanları, oyun şirketlerini ihlal etmek için yeni Icebreaker kötü amaçlı yazılım kullanıyor
Ursnif kötü amaçlı yazılım, banka hesabı hırsızlığından başlangıç erişimine geçiş yapar
Microsoft: PostgreSQL aracılığıyla kötü amaçlı yazılım kampanyasında hacklenen Kubernetes kümeleri
Bu Başkanlık Günü Anlaşmasında 170 $ için Yenilenmiş Microsoft Surface 3 alın
Kaynak: Bleeping Computer