Сегодня 05 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Windows нашли чрезвычайно скрытный бэкдор, который позволяет следить за всем трафиком

Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.

Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.

 Источник изображения: symantec-enterprise-blogs.security.com

Источник изображения: symantec-enterprise-blogs.security.com

Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую. Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Видеоредактор «Мовавика Видео» получил новую функцию: автосубтитры при помощи искусственного интеллекта 13 мин.
Microsoft запустила ИИ-техподдержку для Xbox 26 мин.
Netflix начнёт использовать генеративный ИИ для игр и удалит почти все интерактивные шоу 2 ч.
Instagram начнёт с помощью ИИ вычислять подростков, скрывающих свой возраст 2 ч.
«Не очень хорошо, но очень интересно»: критики вынесли вердикт экшен-хоррору Slitterhead от создателя Silent Hill 12 ч.
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту 13 ч.
«У нас всего один шанс»: Ubisoft объяснила, почему перенос Assassin's Creed Shadows был необходим 14 ч.
Игрок обнаружил в ремейке Silent Hill 2 секретное послание — разработчики боялись, что загадка будет слишком сложной 15 ч.
Baldur’s Gate 3, Stellar Blade, Star Wars Outlaws и многие другие: поддержку PS5 Pro на запуске получат более 50 игр 16 ч.
Евросоюз проверит iPadOS на соответствие требованием антимонопольного законодательства 17 ч.
SK hynix представила первые в отрасли 16-ярусные чипы HBM3E ёмкостью 48 Гбайт 2 мин.
OpenAI намерена вывести ИИ реальный мир — компания переманила из Meta главу разработки AR-очков 22 мин.
«Роскосмос» запустил рекордное число российских спутников за раз — 51 аппарат, включая два «Ионосфера-М» 35 мин.
Мировые продажи планшетов подскочили на 20 % — Amazon и Huawei выросли сильнее всех, тогда как Apple теряет рынок 2 ч.
«Мы получили $0 из грантов CHIPS» — глава Intel пожаловался, что США тормозят выплаты по «Закону о чипах» 2 ч.
Слишком много «зелёной» энергии — не всегда хорошо: Нидерланды приняли новые нормы работы энергосетей 3 ч.
Новая статья: Обзор смартфона Apple iPhone 16 Pro Max: ух ты, новая кнопка! 10 ч.
Новая статья: ИИтоги октября 2024 г.: не так страшны боты, как их генерируют 12 ч.
Thermal Grizzly представила бюджетные термопасты Polartherm X10 и Polartherm X8 12 ч.
SK hynix ускорит создание памяти HBM4, потому что об этом попросил глава Nvidia 17 ч.