Los investigadores de Broadcom Symantec han detectado un nuevo malware,
rastreado como FrebnIIS, que abusa de Microsoft Internet Information Services
(IIS) para implementar una puerta trasera y monitorear todo el tráfico HTTP al
sistema infectado, informa Symantec.
El código malicioso fue empleado en ataques contra objetivos en Taiwán por un
actor de amenazas actualmente desconocido.
FrebnIIS funciona mediante la inyección de código en la memoria de
iisfreb.dll, que es utilizado por la característica de IIS de
almacenamiento en búfer de eventos de solicitud fallida (FREB) para solucionar
problemas de solicitudes fallidas.
La técnica utilizada por Frebniis consiste en inyectar código malicioso en la
memoria de un archivo DLL (iisfreb.dll) relacionado con una función de
IIS utilizada para solucionar problemas y analizar solicitudes de páginas web
fallidas. Esto permite que el malware controle sigilosamente todas las
solicitudes HTTP y reconozca las solicitudes HTTP especialmente formateadas
enviadas por el atacante, lo que permite la ejecución remota de código.
«Para usar esta técnica, un atacante necesita obtener acceso al sistema
Windows que ejecuta el servidor IIS por algún otro medio. En este caso
particular, no está claro cómo se logró este acceso»
se lee en el
informe publicado por Symantec.
La función de IIS de Failed Request Event Buffering (FREB) recopila
datos y detalles sobre las solicitudes, como encabezados HTTP con cookies, la
dirección IP y el puerto de origen, etc. Se puede utilizar esta función para
solucionar problemas de solicitudes fallidas de IIS. FrebnIIS garantiza que el
seguimiento de solicitudes fallidas esté habilitado como parte del ataque,
luego accede a la memoria del proceso w3wp.exe (IIS), obteniendo la
dirección donde se carga el código de almacenamiento en búfer de eventos de
solicitudes fallidas (iisfreb.dll).
Una vez obtenida la dirección de inicio del código para la función, el malware
busca desde allí una tabla de puntero de función para secuestrar la ejecución
del código y lograr la ejecución de su código malicioso.
«Los autores de Frebniis han determinado que iiscore.dll llama a un puntero
de función particular dentro de iisfreb.dll cada vez que se realiza una
solicitud HTTP a IIS desde un cliente web. Frebniis secuestra esta función
inyectando su propio código malicioso en la memoria del proceso IIS y luego
reemplazando este puntero de función con la dirección de su propio código
malicioso».
El código malicioso analiza todas las solicitudes HTTP POST recibidas para
/logon.aspx o /default.aspx junto con una contraseña de parámetro establecida
en ‘7ux4398!’. Al hacer coincidir la contraseña, el malware descifra y
ejecuta la puerta trasera principal incluida en una sección del código
inyectado. La puerta trasera es un código ejecutable .NET. Los expertos
señalaron que el malware no guarda los ejecutables en el disco, lo que lo hace
completamente sigiloso.
La puerta trasera implementa la funcionalidad de proxy y la ejecución remota
de código.
El código proporciona capacidades de ejecución de código remoto y proxy, lo
que permite a los operadores de malware comunicarse con recursos internos que
normalmente tienen bloqueado el acceso a Internet, así como ejecutar código
directamente en la memoria mediante solicitudes HTTP diseñadas.
«Esto convierte a FrebnIIS en un tipo de puerta trasera HTTP relativamente
único y raro que se ve en la naturaleza», concluye Symantec.
Fuente:
SecurityAffairs
Los comentarios están cerrados.