Peretas menyebarkan malware baru bernama ‘Frebniss’ di Layanan Informasi Internet (IIS) Microsoft yang diam-diam mengeksekusi perintah yang dikirim melalui permintaan web.
Frebniis ditemukan oleh Tim Pemburu Ancaman Symantec, yang melaporkan bahwa aktor ancaman tak dikenal saat ini menggunakannya untuk melawan target yang berbasis di Taiwan.
Microsoft IIS adalah perangkat lunak server web yang berfungsi sebagai server web dan platform hosting aplikasi web untuk layanan seperti Outlook di Web untuk Microsoft Exchange.
Dalam serangan yang dilihat oleh Symantec, peretas menyalahgunakan fitur IIS yang disebut ‘Failed Request Event Buffering’ (FREB), yang bertanggung jawab untuk mengumpulkan metadata permintaan (alamat IP, header HTTP, cookie). Tujuannya adalah untuk membantu admin server memecahkan masalah kode status HTTP yang tidak terduga atau meminta masalah pemrosesan.
Malware menyuntikkan kode berbahaya ke dalam fungsi tertentu dari file DLL yang mengontrol FREB (“iisfreb.dll”) untuk memungkinkan penyerang mencegat dan memantau semua permintaan HTTP POST yang dikirim ke server ISS. Saat malware mendeteksi permintaan HTTP tertentu yang dikirim penyerang, ia mem-parsing permintaan untuk menentukan perintah apa yang akan dijalankan di server.
Symantec mengatakan bahwa pelaku ancaman pertama-tama harus menembus server IIS untuk mengkompromikan modul FREB, tetapi mereka tidak dapat menentukan metode yang digunakan untuk mendapatkan akses pada awalnya.
Kode yang disuntikkan adalah pintu belakang .NET yang mendukung proksi dan eksekusi kode C# tanpa pernah menyentuh disk, membuatnya benar-benar tersembunyi. Itu mencari permintaan yang dibuat ke halaman logon.aspx atau default.aspx dengan parameter kata sandi tertentu.
Parameter HTTP kedua, yang merupakan string yang disandikan base64, menginstruksikan Frebniis untuk berkomunikasi dan menjalankan perintah pada sistem lain melalui IIS yang disusupi, yang berpotensi menjangkau sistem internal yang dilindungi yang tidak terpapar ke internet.
Malware mendukung perintah berikut:
“Jika panggilan HTTP ke logon.aspx atau default.aspx diterima tanpa parameter kata sandi, tetapi dengan string Base64, string Base64 dianggap sebagai kode C# yang akan dieksekusi langsung di memori,” jelas Laporan Symantec.
“String Base64 diterjemahkan dan kemudian didekripsi (xor 0x08) dan diharapkan menjadi dokumen XML dengan kode C# untuk dieksekusi di node ‘/doc’ di bawah atribut ‘data’ (Misalnya
Keuntungan utama menyalahgunakan komponen FREB untuk tujuan yang dijelaskan adalah menghindari deteksi dari alat keamanan. Pintu belakang HTTP unik ini tidak meninggalkan jejak atau file dan tidak membuat proses yang mencurigakan pada sistem.
Meskipun jalur penyusupan awal tidak diketahui, pembaruan perangkat lunak umumnya disarankan untuk meminimalkan kemungkinan peretas mengeksploitasi kerentanan yang diketahui.
Alat pemantauan lalu lintas jaringan lanjutan juga dapat membantu mendeteksi aktivitas yang tidak biasa dari malware seperti Frebniis.
Pada Oktober 2022, Symantec menemukan malware lain digunakan oleh grup peretasan Cranefly yang menyalahgunakan log ISS untuk mengirim dan menerima perintah dari server C2 tanpa membunyikan alarm apa pun.
