Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.
Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.
Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.
Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.
Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.
Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.
Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.
Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.
Selengkapnya: Bleeping Computer
