Microsoft’un İnternet Bilgi Servislerine (IIS) yönelik yakın zamanda keşfedilen bir tehdit, “Frebniss” olarak bilinen yeni bir kötü amaçlı yazılım türünün konuşlandırılmasını içeriyor.
Bu kötü amaçlı yazılım, bilgisayar korsanları tarafından İnternet üzerinden iletilen web istekleri aracılığıyla gizli komutlar gerçekleştirmek için kullanılıyor.
Symantec’in Tehdit Avcısı Ekibi, Broadcom Software kısa süre önce bu yeni kötü amaçlı yazılım “Frebniis” ile ilgili endişe verici bir keşif yaptı. Raporlarına göre, bu kötü amaçlı yazılım şu anda bilinmeyen bir tehdit aktörü tarafından Tayvan merkezli hedeflere karşı konuşlandırılıyor.
Microsoft IIS, web sunucusu işlevselliği ve web uygulaması barındırma için kullanılan güçlü bir yazılım uygulama platformudur. Birçok kullanımının yanı sıra Microsoft IIS, Microsoft Exchange için Web’de Outlook gibi hizmetler için hayati bir platform görevi görür.
Bu yazılım platformu son derece güvenilirdir ve web uygulamalarına ve hizmetlerine kolay erişim sağlar, bu da onu hem bireyler hem de işletmeler için popüler bir seçim haline getirir.
Frebnii IIS Özelliğini Kötüye Kullanma
Frebniis’in yöntemi, başarısız web sayfası isteklerini incelemek için kullanılan bir IIS özelliğiyle ilişkili bir DLL dosyası olan iisfreb.dll’nin belleğine zararlı kod enjekte eder.
Bunun yardımıyla, tüm HTTP istekleri kötü amaçlı yazılım tarafından gizlice izlenir ve saldırgandan gelen belirli istek biçimlerini algılayarak uzaktan kod yürütme olasılığına yol açar.
Saldırganın bu taktiği uygulayabilmesi için başka bir yöntem kullanarak IIS sunucusunu çalıştıran Windows sistemine erişim sağlaması gerekir. Ancak, bu örnekte erişimin nasıl elde edildiği belirsizliğini koruyor.
Symantec, bilgisayar korsanlarının IP adresleri, HTTP üstbilgileri ve tanımlama bilgileri dahil olmak üzere istek meta verilerini alan ‘Başarısız İstek Olay Arabelleğe Alma’ (FREB) adlı bir IIS işlevinden yararlandığı saldırılar tespit etti.
Enjekte edilen .NET arka kapısı, disk etkileşimi olmadan C# kodunun yürütülmesine ve proxy’ye olanak tanır, bu da onu algılanamaz hale getirir. Sayfalar oturum açarken belirli bir parola parametresi aranır.[.]aspx veya varsayılan[.]aspx istenir.
İkinci bir HTTP parametresi olarak base64 kodlu bir dize kullanan Frebniis, genel kullanıma açık olmayan güvenli dahili sistemlere erişebilen güvenliği ihlal edilmiş IIS aracılığıyla diğer sistemlere komut verebilir ve bunlarla etkileşim kurabilir.
Desteklenen Komutlar
Aşağıda, bu kötü amaçlı yazılımın desteklediği tüm komutlardan bahsetmiştik: –
Saldırgan, FREB bileşeninden yararlanarak güvenlik önlemleriyle tespit edilmekten kaçınabilir ki bu onun önemli avantajıdır. Bu istisnai HTTP arka kapısı, şüpheli sistem işlemleri, dosyaları veya izleri üretmez.
İlk ele geçirmenin kesin yolu belirsiz olsa da, tehdit aktörlerinin zaten bilinen güvenlik açıklarından yararlanma riskini azaltmak için yazılımınızı hemen güncellemeniz kesinlikle önerilir.
Bu durumda, bir şirket ağının ağ trafiğinin gelişmiş ağ trafiği izleme araçlarının yardımıyla izlenmesi, ağda Frebniis veya diğer kötü amaçlı yazılımların neden olabileceği olağandışı etkinliklerin saptanmasına da yardımcı olabilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin