Malware FrebnIIS abusa de Microsoft IIS para crear un backdoor

Los investigadores de Broadcom Symantec han detectado un nuevo malware, rastreado como FrebnIIS, que abusa de Microsoft Internet Information Services (IIS) para implementar una puerta trasera y monitorear todo el tráfico HTTP al sistema infectado, informa Symantec.

El código malicioso fue empleado en ataques contra objetivos en Taiwán por un actor de amenazas actualmente desconocido.

FrebnIIS funciona mediante la inyección de código en la memoria de iisfreb.dll, que es utilizado por la característica de IIS de almacenamiento en búfer de eventos de solicitud fallida (FREB) para solucionar problemas de solicitudes fallidas.

La técnica utilizada por Frebniis consiste en inyectar código malicioso en la memoria de un archivo DLL (iisfreb.dll) relacionado con una función de IIS utilizada para solucionar problemas y analizar solicitudes de páginas web fallidas. Esto permite que el malware controle sigilosamente todas las solicitudes HTTP y reconozca las solicitudes HTTP especialmente formateadas enviadas por el atacante, lo que permite la ejecución remota de código. "Para usar esta técnica, un atacante necesita obtener acceso al sistema Windows que ejecuta el servidor IIS por algún otro medio. En este caso particular, no está claro cómo se logró este acceso" se lee en el informe publicado por Symantec.

La función de IIS de Failed Request Event Buffering (FREB) recopila datos y detalles sobre las solicitudes, como encabezados HTTP con cookies, la dirección IP y el puerto de origen, etc. Se puede utilizar esta función para solucionar problemas de solicitudes fallidas de IIS. FrebnIIS garantiza que el seguimiento de solicitudes fallidas esté habilitado como parte del ataque, luego accede a la memoria del proceso w3wp.exe (IIS), obteniendo la dirección donde se carga el código de almacenamiento en búfer de eventos de solicitudes fallidas (iisfreb.dll).

Una vez obtenida la dirección de inicio del código para la función, el malware busca desde allí una tabla de puntero de función para secuestrar la ejecución del código y lograr la ejecución de su código malicioso.

"Los autores de Frebniis han determinado que iiscore.dll llama a un puntero de función particular dentro de iisfreb.dll cada vez que se realiza una solicitud HTTP a IIS desde un cliente web. Frebniis secuestra esta función inyectando su propio código malicioso en la memoria del proceso IIS y luego reemplazando este puntero de función con la dirección de su propio código malicioso".

El código malicioso analiza todas las solicitudes HTTP POST recibidas para /logon.aspx o /default.aspx junto con una contraseña de parámetro establecida en '7ux4398!'. Al hacer coincidir la contraseña, el malware descifra y ejecuta la puerta trasera principal incluida en una sección del código inyectado. La puerta trasera es un código ejecutable .NET. Los expertos señalaron que el malware no guarda los ejecutables en el disco, lo que lo hace completamente sigiloso.

La puerta trasera implementa la funcionalidad de proxy y la ejecución remota de código.

El código proporciona capacidades de ejecución de código remoto y proxy, lo que permite a los operadores de malware comunicarse con recursos internos que normalmente tienen bloqueado el acceso a Internet, así como ejecutar código directamente en la memoria mediante solicitudes HTTP diseñadas. "Esto convierte a FrebnIIS en un tipo de puerta trasera HTTP relativamente único y raro que se ve en la naturaleza", concluye Symantec.

Fuente: SecurityAffairs

Suscríbete a nuestro Boletín