Исследователи обнаружили “умную” вредоносную программу, которая незаметно переносит данные и выполняет вредоносный код из систем Windows, используя функцию в Microsoft Internet Information Services (IIS).
IIS – это веб-сервер общего назначения, который работает на устройствах Windows, объясняет Ars Technica. В качестве веб-сервера он принимает запросы от удаленных клиентов и возвращает соответствующий ответ. В июле 2021 года компания Netcraft сообщила, что существует 51,6 миллиона экземпляров IIS, распространенных на 13,5 миллиона уникальных доменов.
IIS предлагает функцию под названием Failed Request Event Buffering (FREB), которая собирает метрики и другие данные о веб-запросах, полученных от удаленных клиентов. IP-адреса и порты клиентов, заголовки HTTP с куки-файлам и не только. FREB помогает администраторам устранять неисправности в неудачных веб-запросах, извлекая из буфера запросы, соответствующие определенным критериям, и записывая их на диск.
Преступные хакеры придумали, как злоупотреблять FREB для “контрабанды” и выполнения вредоносного кода в защищенных областях уже взломанной сети. Хакеры также могут использовать FREB для утечки данных из тех же защищенных областей. Поскольку эта техника смешивается с легитимными запросами eeb, она обеспечивает скрытый способ дальнейшего проникновения во взломанную сеть.
Прежде чем Frebniis сможет работать, злоумышленник должен сначала взломать систему Windows, на которой работает сервер IIS. Исследователям Symantec еще предстоит выяснить, как Frebniis это делает.
Источник: Ferra