Los investigadores descubren una puerta trasera de Windows que es inusualmente discreta
Los investigadores han descubierto una pieza inteligente de malware que extrae datos de forma sigilosa y ejecuta código malicioso de los sistemas Windows al abusar de una función en Microsoft Internet Information Services (IIS). IIS es un servidor web de propósito general que se ejecuta en dispositivos Windows. Como servidor web, acepta solicitudes de clientes remotos y devuelve la respuesta adecuada. En julio de 2021, la empresa de inteligencia de redes Netcraft anunció que había 51,6 millones de instancias de IIS distribuidas en 13,5 millones de dominios únicos. IIS proporciona una función denominada «Búfer de eventos de solicitud fallida» que recopila métricas y otros datos sobre las solicitudes web recibidas de clientes remotos. Las direcciones IP del cliente y los encabezados de puerto y HTTP con cookies son dos ejemplos de datos que se pueden recopilar. FREB ayuda a los administradores a solucionar problemas de solicitudes web fallidas al recuperar solicitudes que cumplen ciertos criterios de un búfer y escribirlas en el disco. El mecanismo puede ayudar a determinar la causa de los errores 401 o 404, o aislar la causa de las solicitudes bloqueadas o descartadas. Los piratas informáticos han descubierto cómo abusar de esta característica de FREB para escabullirse y ejecutar código malicioso en regiones protegidas de una red ya comprometida. Los piratas informáticos también pueden usar FREB para extraer datos de las mismas regiones protegidas. Debido a que la técnica se inserta en solicitudes eeb legítimas, ofrece una forma sigilosa de profundizar en la red comprometida. El malware posterior a la explotación que hace esto posible fue llamado Frebniis por investigadores de Symantec, quienes informaron su uso el jueves. Frebniis primero se asegura de que FREB esté habilitado y luego secuestra su ejecución al inyectar código malicioso en la memoria del proceso IIS y hacer que se ejecute. Una vez que el código está en su lugar, Frebniis puede inspeccionar todas las solicitudes HTTP recibidas del servidor IIS. «Al secuestrar y modificar el código del servidor web IIS, Frebniis puede interceptar el flujo regular de procesamiento de solicitudes HTTP y buscar solicitudes HTTP con formato especial», escribieron los investigadores de Symantec. “Estas solicitudes permiten la ejecución remota de código y la transmisión a sistemas internos de manera sigilosa. No hay archivos ni procesos sospechosos ejecutándose en el sistema, lo que convierte a Frebniis en un tipo de puerta trasera HTTP relativamente único y raro que se ve en la naturaleza”. Los investigadores de Symantec aún tienen que descubrir cómo Frebniis hace esto. Frebniis analiza todas las solicitudes HTTP POST que llaman a los archivos logon.aspx o default.aspx utilizados para crear páginas de inicio de sesión o servir páginas web predeterminadas, respectivamente. Los atacantes pueden inyectar solicitudes en un servidor infectado enviando una de estas solicitudes y agregando la contraseña «7ux4398». como parámetros. Una vez que se recibe dicha solicitud, Frebniis descifra y ejecuta el código .Net que controla las principales funciones de puerta trasera. Para que el proceso sea más sigiloso, el código no coloca ningún archivo en el disco duro. El código .NET tiene dos propósitos. En primer lugar, proporciona un proxy que permite a los atacantes utilizar el servidor IIS comprometido para interactuar o comunicarse con recursos internos que, de otro modo, serían inaccesibles desde Internet. La siguiente tabla muestra los comandos que está programado para ejecutar:
1 | CrearConectar | Puerto host | Conectarse a un sistema remoto para el proxy, devuelve un UUID que representa el sistema remoto |
2 | Leer Scoket | UUID | Leer una cadena Base64 desde un sistema remoto |
3 | escribescoket | uuid, cadena base64 | Escribir una cadena Base64 en un sistema remoto |
4 | CerrarScoket | UUID | Cerrar la conexión |
El segundo propósito del código .Net es permitir la ejecución remota del código proporcionado por el atacante en el servidor IIS. Al enviar una solicitud a los archivos logon.aspx o default.aspx que contienen código escrito en C#, Frebniis lo decodifica automáticamente y lo ejecuta en la memoria. Nuevamente, al ejecutar el código directamente en la memoria, la puerta trasera es mucho más difícil de detectar.
Diagrama que muestra cómo se usa Frebniis. Symantec No está claro qué tan extendido está Frebniis actualmente. La publicación incluye dos archivos hash asociados con la puerta trasera, pero no explica cómo escanear un sistema para ver si existen.