Frebniis恶意软件滥用Microsoft IIS功能创建后门

据赛门铁克报道，Broadcom Symantec研究人员发现了一种新的恶意软件，名为Frebniis，它滥用Microsoft Internet Information Services（IIS）部署后门并监控受感染系统的所有HTTP流量。

Frebniis使用的技术涉及将恶意代码注入DLL文件（iisfreb.dll）的内存中，该文件与用于故障排除和分析失败的网页请求的IIS功能相关。这允许恶意软件秘密监控所有HTTP请求并识别攻击者发送的特殊格式的HTTP请求，从而允许远程执行代码。“为了使用这种技术，攻击者需要通过其他方式访问运行IIS服务器的Windows系统。在这种特殊情况下，尚不清楚这种访问是如何实现的。

IIS 功能失败请求事件缓冲 （FREB） 收集有关请求的数据和详细信息，例如带有 cookie 的 HTTP 标头、原始 IP 地址和端口等。称为“失败请求跟踪”的功能可用于对 IIS 失败的请求进行故障排除。Frebniis 确保在攻击过程中启用失败请求跟踪，然后访问 w3wp.exe （IIS） 进程内存，获取加载失败请求事件缓冲代码 （iisfreb.dll） 的地址。

一旦获得函数的代码起始地址，Frebniis 恶意软件就会从那里搜索函数指针表，以劫持代码执行并实现其恶意代码的执行。“Frebniis的作者已经确定，每当从Web客户端向IIS发出任何HTTP请求时.dll iiscore都会调用iisfreb.dll中的特定函数指针。 “Frebniis 通过将自己的恶意代码注入 IIS 进程内存，然后将此函数指针替换为自己的恶意代码的地址来劫持此函数。

Frebniis 使用特定的参数密码解析 /logon.aspx 或 /default.aspx 的所有请求，这允许它在找到密码匹配项时解密和执行 .NET 代码。

恶意代码解析所有收到的 HTTP POST 请求.aspx以获取 /logon 或 /default.aspx以及设置为“7ux4398！匹配密码后，恶意软件会解密并执行注入代码部分中包含的主后门。后门是 .NET 可执行代码。专家指出，该恶意软件不会将可执行文件保存到磁盘，这使得它完全隐身。后门实现代理功能和远程代码执行。

该代码提供代理和远程代码执行功能，允许恶意软件操作员与通常被阻止访问 Internet 的内部资源进行通信，以及使用构建的 HTTP 请求直接在内存中执行代码。

“这些请求允许远程代码执行并以隐蔽的方式代理内部系统。系统上不会运行任何文件或可疑进程，这使得Frebniis成为一种相对独特和罕见的HTTP后门，“赛门铁克总结道。

这家网络安全公司表示，Frebniis已被一个未知的威胁行为者用于针对台湾实体的攻击。

原文始发于微信公众号（黑猫安全）：Frebniis恶意软件滥用Microsoft IIS功能创建后门