| Автор |
Сообщение |
Romanukjr ®
Uploader 100+
Стаж: 15 лет 2 мес.
Сообщений: 1862
Ratio: 1821.488
Раздал: 429.2 TB
Поблагодарили: 16500
69.47%
Откуда: Москва
|
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
|
|
|
 |
growol
Стаж: 2 года 9 мес.
Сообщений: 1273
Ratio: 1.923
100%
|
JarosStar писал(а):  | IIS |
он имеет смысл в основном для net технологий. Я с ним имел дело пару раз, писал сайт на asp.net. Но это было давно |
|
|
|
|
iBigBadWolf
Стаж: 9 лет 2 мес.
Сообщений: 767
Ratio: 401.621
Поблагодарили: 777
100%
Откуда: местный.
|
| JarosStar писал(а): | А кто из присутствующих IIS хотя бы поднял раз? Реально — есть любители? У меня дружбы с ним не сложилось, бросил |
Я поднимал пару раз.... 1) Когда уверовал в Микрософт ФронтПейдж....  2) Когда надо было, лет 5 назад, |
_________________
Дурак – такой же мыслитель, как и умный. Только мысли разные.
|
|
|
|
cbelkin
Стаж: 15 лет 9 мес.
Сообщений: 351
Ratio: 2554.415
Раздал: 2.6024 PB
100%
|
Бэкдор нужно чаще мыть, хозяйственным мылом и холодной водой. Микрософт у них панимаш. |
|
|
|
|
Sompremium_Som_Design
Стаж: 2 года
Сообщений: 90
Ratio: 0.048
4.76%
|
А сколько еще не нашли... |
|
|
|
|
OLqqq
Стаж: 17 лет 8 мес.
Сообщений: 887
Ratio: 4.811
Поблагодарили: 1660
100%
|
| kostyanuri4 писал(а): | Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей.
При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
Эм... А как называется болезнь - отрицание очевидного?  |
|
|
|
|
alex12nnm
Только чтение
Стаж: 12 лет 6 мес.
Сообщений: 1997
Ratio: 0.431
100%
|
|
|
|
Steel_Cat
Стаж: 17 лет 4 мес.
Сообщений: 1410
Ratio: 404.126
Поблагодарили: 29853
100%
Откуда: Питер
|
| kostyanuri4 писал(а): | Манией преследования (бредом преследования) называют психическое расстройство, которое выражается в навязчивой идее человека об угрозе собственной безопасности, о наличии слежки за ним. Никакая защита (изоляция, переезд) не избавляет таких пациентов от бредовых идей.
При шизофрении бред преследования считается наиболее распространенным. Как правило, это состояние наблюдается при параноидной шизофрении. |
"Если вы параноик, это не значит что за вами вообще никто не следит" (с)  Добавлено спустя 3 минуты 48 секунд: | JarosStar писал(а): | А кто из присутствующих IIS хотя бы поднял раз? Реально — есть любители? У меня дружбы с ним не сложилось, бросил |
Только как необходимый компонент чего-то сугубо мелкомягкого - что представляет собой "вещь в себе" и не работает ни с какими другими WEB-серверами. Как правило это компоненты разных больших корпоративных решений на платформе MS. Holy Shit! |
_________________
-= The Stainless Steel Cat =-
|
|
|
|
|
|
|
