Хакерууд Microsoft Internet Information Services (IIS)-д "Frebniss" хэмээх шинэ хортой программыг нэвтрүүлсэн. Програм нь вэб хүсэлтээр илгээсэн командуудыг нууцаар гүйцэтгэдэг.

“Frebniis”-г Symantec Threat Hunter Team олж илрүүлсэн бөгөөд одоогоор үл мэдэгдэх халдагчид Тайваний хэд хэдэн зорилтот байгууллага руу хортой програмыг ашиглаж байна гэж мэдээлсэн .

Symantec-ийн үзснээр халдлагад хакерууд хүсэлтийн мета өгөгдөл (IP хаяг, HTTP толгой, күүки) цуглуулах үүрэгтэй Failed Request Event Buffering
(FREB) хэмээх IIS функцийг ашигласан. Үүний зорилго нь серверийн администраторуудад HTTP статусын код эсвэл хүсэлтийг боловсруулахтай холбоотой асуудлыг шийдвэрлэхэд туслах явдал юм.

Хортой программ нь FREB (“iisfreb.dll”)-ийг удирддаг DLL файлын тодорхой функцэд хортой кодыг оруулснаар халдагчид ISS сервер рүү илгээсэн бүх HTTP
POST хүсэлтийг таслан зогсоож, хянах боломжтой. Хортой программ халдагчийн илгээсэн тодорхой HTTP хүсэлтийг илрүүлэх үед сервер дээр ямар командуудыг гүйцэтгэхийг тодорхойлох хүсэлтийг задлан шинжилдэг.

Symantec-ийн хэлснээр халдагчид эхлээд FREB модулийг эвдэхийн тулд IIS сервер рүү нэвтрэх хэрэгтэй. Гэвч  шинжээчид бодит халдлагад нэвтрэхийн тулд ашигласан аргыг тодорхойлж чадаагүй байна.

Суурилуулсан код нь local drive руу файл бичихгүйгээр прокси болон C# кодыг ажиллуулахыг дэмждэг “.NET” арын хаалга юм. Энэ нь хортой програмыг бүрэн харагдахгүй болгодог. Энэ нь тусгай нууц үгийн параметр бүхий logon.aspx эсвэл default.aspx хуудасны хүсэлтийг хайдаг.

Хоёрдахь HTTP параметр нь base64 кодлогдсон мөр бөгөөд эвдэрсэн IIS-ээр дамжуулан бусад систем дээр тушаалуудыг гүйцэтгэх боломжийг олгодог. Энэ нь “Frebniis”-д интернетэд байхгүй аюулгүй дотоод системд хандах боломжийг олгодог.

"Хэрэв logon.aspx эсвэл default.aspx руу HTTP дуудлагыг нууц үгийн параметргүйгээр Base64 мөртэй хүлээн авбал Base64 мөрийг санах ойд шууд гүйцэтгэх C# код гэж үзнэ" гэж Symantec тайланд тайлбарлав.

Тодорхойлсон зорилгоор FREB бүрэлдэхүүн хэсгийг ашиглахын гол давуу тал нь хамгаалалтын хэрэгслээр илрүүлэхээс зайлсхийх явдал юм. Энэхүү өвөрмөц HTTP арын хаалга нь ямар ч ул мөр, файл үлдээдэггүй бөгөөд систем дээр сэжигтэй процесс үүсгэдэггүй.

Энэхүү халдлагаас буулт хийх зам тодорхойгүй байгаа ч мэргэжилтнүүд мэдэгдэж буй эмзэг байдлыг ашиглах хакеруудыг багасгахын тулд эхлээд программ хангамжаа шинэчлэхийг зөвлөж байна. 

/Эх сурвалж: securitylab.ru/