Il Threat Hunter Team di Symantec ha osservato un nuovo malware, ribattezzato Frebniis, che abusa di una particolare funzionalità del server web IIS (Internet Information Services) di Microsoft per distribuire una backdoor su sistemi target eludendo il rilevamento da parte degli strumenti di sicurezza.
La matrice del malware risulta al momento sconosciuta, ma sarebbe in grado di inserire del codice dannoso nel modulo legittimo FREB del server IIS per monitorare le richieste HTTP dell’attaccante ed eseguire furtivamente i comandi inviati.
Indice degli argomenti
Cos’è la funzionalità FREB di IIS
IIS, come accennato prima, è un server Web generico che viene eseguito su dispositivi Windows.
In particolare, IIS offre una funzionalità denominata FREB (Failed Request Event Buffering) che raccoglie metriche e informazioni sulle richieste web ricevute dai client remoti (indirizzi IP, numeri porta, intestazioni HTTP, cookie) aiutando gli amministratori di sistema a risolvere problemi attinenti a richieste HTTP non riuscite e recuperando da un buffer quelle che soddisfano determinati criteri.
Purtroppo, gli attori della minaccia stanno abusando proprio di questa funzione legittima per eseguire codice dannoso in reti precedentemente compromesse.
La tecnica malevola impiegata da Frebniis
La tecnica impiegata dal malware Frebniis prevede l’iniezione di codice dannoso nella memoria di un file DLL (iisfreb.dll) correlato alla funzionalità FREB utilizzata da IIS.
In pratica, garantendo che il tracciamento delle richieste non riuscite sia sempre attivo, il malware riesce a ottenere l’indirizzo di allocazione in cui è caricato il codice di buffering degli eventi FREB cercando da una tabella di puntatori a funzioni e sostituendo il puntatore della funzione che viene invocata ogni volta che un client web effettua una richiesta HTTP al server IIS con l’indirizzo del puntatore alla propria funzione con codice dannoso.
Tabella di puntatori a funzione utilizzata per il dirottamento (fonte: Symantec).
“Frebniis dirotta questa funzione iniettando il proprio codice dannoso nella memoria del processo IIS e quindi sostituendo questo puntatore a funzione con l’indirizzo del proprio codice dannoso. Questo dirottamento consente a Frebniis di ricevere e ispezionare furtivamente ogni richiesta HTTP al server IIS prima di tornare alla funzione originale.”, commenta il Threat Hunter Team di Symantec.
La compromissione consente così al malware di monitorare tutte le richieste HTTP e riconoscere quelle appositamente allestite e inviate dall’attaccante, consentendo l’esecuzione di codice in modalità remota.
Flusso di attacco (fonte: Symantec).
Funzionalità proxy ed esecuzione codice arbitrario
Secondo gli esperti, il codice inserito sarebbe una backdoor .NET che supporta un proxy e l’esecuzione di codice C# direttamente in memoria senza alcuna interazione umana e mantenendo la backdoor completamente invisibile.
In particolare, si legge nel rapporto che le istruzioni verrebbero fornite al malware tramite i parametri passati con richieste HTTP POST di autenticazione. Se il valore di una password (“7ux4398!”) viene passato come parametro nella richiesta HTTP, Frebniis decifrerebbe ed eseguirebbe i comandi scritti in una sezione specifica del codice iniettato e relativi all’eseguibile .NET con funzionalità backdoor.
La presenza di un secondo parametro HTTP fornito con una stringa codificata Base64 servirebbe poi per controllare la funzionalità proxy (consentendo agli attaccanti di raggiungere tramite il server IIS compromesso anche risorse interne alla rete target e non esposte su Internet) e l’esecuzione di codice remoto.
“Se viene ricevuta una chiamata HTTP a logon.aspx o default.aspx senza il parametro password, ma con la stringa Base64, si presume che la stringa Base64 sia codice C# che verrà eseguito direttamente in memoria.[…] Ciò consente a Frebniis di eseguire furtivamente codice arbitrario sul sistema”, si legge nel rapporto Symantec.
Raccomandazioni per mitigare il rischio
Sebbene sia ben noto al Team di Microsoft 365 Defender Research il fatto che gli attaccanti utilizzino sempre più le estensioni di Internet Information Services (IIS) come backdoor fornendo loro un meccanismo di persistenza, al momento della scrittura di questo articolo non risulta una risposta ufficiale di Microsoft in merito a questo particolare malware.
Anche se non è ancora chiaro quanto Frebniis sia effettivamente sfruttato né come ottenga l’accesso dei sistemi Windows con il server IIS in ascolto, una buona regola di sicurezza rimane sempre quella di tenere aggiornati i propri dispositivi per ridurre le possibilità di sfruttamento di vulnerabilità oltre ad a impiegare strumenti avanzati di monitoraggio del traffico di rete per aiutare a rilevare attività insolite come queste e controllare regolarmente i moduli IIS caricati sui server IIS esposti, in particolare i server Exchange, utilizzando gli strumenti esistenti nella suite di server IIS.
