کمیته رکن چهارم – بدافزاری جدید از جنس HTTP توسط هکرها طراحی شده است که با استفاده از آن سرورهای IIS را هدف میگیرند.
هکرها در حال آلودهسازی سرورهای IIS به بدافزار جدیدی با عملکرد منحصربهفرد، با نام Frebniis هستند که فرامین ارسال شده از طریق درخواستهای وب را اجرا میکند.
Microsoft Internet Information Service – به اختصار IIS – یک سرویسدهنده وب است که در نقش Web Server و یک بستر میزبانی برنامههای تحت وب در سرورهایی همچون Exchange استفاده میشود.
بر اساس گزارشی که شرکت سیمانتک (Symantec) آن را منتشر کرده در جریان این حملات، هکرها از یکی از ویژگیهای IIS به نام Failed Request Event Buffering – به اختصار FREB – که مسئول جمعآوری درخواستهای فراداده (نشانی IP، سرآیند HTTP، کوکیها) است، سوءاستفاده میکنند. راهبران سرورها از FREB برای عیبیابی کدهای غیرمنتظره HTTP یا مشکلات پردازشی مربوط به درخواستها (Request) استفاده میکنند.
بدافزار، کدهای مخرب را به تابعی خاص (Function) تزریق میکند که در یک فایل DLL با نام iisfreb.dll که FREB را کنترل میکند تا مهاجم را قادر سازد که تمامی درخواستهای HTTP POST ارسال شده به سرور IIS را رهگیری و نظارت کند.
هنگامی که بدافزار درخواستهای HTTP خاصی را که توسط مهاجمان ارسال شده، شناسایی میکند، درخواست را تحلیل کرده و بر اساس آن فرمانی را بر روی سرور اجرا میکند.
مهاجمان در جریان این حملات، ابتدا اقدام به هک سرور IIS به منظور در اختیار گرفتن کنترل ماژول FREB میکنند؛ در عین حال محققان سیمانتک، موفق به شناسایی روش مورد استفاده مهاجمان برای دسترسی اولیه نشدهاند.
کد تزریق شده یک درپشتی (Backdoor) مبتنی بر .NET است که از پروکسی شدن و اجرای کدهای C#، بدون نیاز به دسترسی به دیسک پشتیبانی میکند. کد مذکور به دنبال درخواستهای ارسال شده با پارامتر خاص رمز عبور به صفحات logon.aspx یا default.aspx است.
پارامتر دوم HTTP، یک رشته رمزگذاری شده base۶۴ است که به Frebniis دستور میدهد تا از طریق IIS هک شده با سیستمهای دیگر ارتباط برقرار کرده و فرامین را اجرا کند. این پارامتر به طور بالقوه امکان نفود به سیستمهای داخلی محافظتشده سازمان را حتی اگر به اینترنت هم متصل نباشند فراهم میکند.
بدافزار Frebniis از فرامین زیر پشتیبانی میکند:
در گزارش سیمانتک عنوان شده چنانچه یک فراخوانی HTTP به logon.aspx یا default.aspx بدون پارامتر رمز عبور دریافت شود اما به صورت Base۶۴ رمزگذاری شده باشد، آن را به عنوان کدC# تلقی کرده و پس از رمزگشایی مستقیماً در حافظه اجرا میکند.
مزیت اصلی سوءاستفاده از مؤلفه FREB توسط این مهاجمان، دور زدن راهکارهای امنیتی است. این دربپشتی منحصربهفرد HTTP، هیچ رد یا فایلی از خود بر جای نمیگذارد و هیچ پروسه مشکوکی نیز در سیستم ایجاد نمیکند.
هر چند در گزارش سیمانتک، روش نفوذ اولیه این مهاجمان به سرورهای IIS، ناشناخته اعلام شده است اما اطمینان از نصب کامل اصلاحیههای امنیتی بر روی سرورها توصیه اکید میشود.
ضمن آن که بکارگیری ابزارهای پیشرفته نظارت بر ترافیک شبکه نیز میتواند به شناسایی فعالیت غیرمعمول بدافزارهایی مانند Frebniis کمک کند.
منبع : مرکز مدیریت راهبردی افتا