Symantec, divizie Broadcom Software, a remarcat recent un nou malware care foloseşte o caracteristică Internet Information Services de la Microsoft ca să instaleze o poartă dosnică de acces în sistemele ţintite. Poreclit Frebniis, noul malware a fost folosit de un autor încă necunoscut asupra unor ţinte din Taiwan.
Tehnica folosită de Frebniis implică injectarea de cod malefic în memoria unui fişier DLL legat de o caracteristică IIS folosită la depanarea şi analizarea cererilor eşuate de accesare pagini web.
Astfel, malware-ul poate monitoriza, nedetectat, toate cererile HTTP şi poate recunoaşte cereri HTTP specific formatate trimise de atacator, fapt care permite executarea codului de la distanţă.
Pentru a folosi tehnica, atacatorul trebuie să obţină acces la sistemul Windows care rulează pe serverul IIS prin diverse alte mijloace.
IIS este un server web de scop general care rulează pe sistemele Windows pentru a deservi paginile sau fişierele HTML cerute. Un server web IIS acceptă cereri de la computere client aflate la distanţă şi returnează răspunsul adecvat. IIS dispune de o caracteristică cunoscută sub numele de Failed Request Event Buffering (FREB) care colectează date şi detalii despre diverse cereri.
O caracteristică denumită Failed Request Tracing poate fi folosită pentru depanarea cererilor IIS eşuate. Frebniis se asigură de activarea acesteia, pentru obţinerea de acces. Prin piratarea şi modificarea codului serverului web IIS, Frebniis poate intercepta fluxul normal de gestionare a cererilor HTTP şi poate căuta cereri specific formatate. Acestea permit executarea de la distanţă a codului malefic. În sistem nu vor rula fişiere sau procese suspecte, ceea ce face din Frebniis un tip relativ unic şi rar de poartă dosnică HTTP observată acţionând liber.
Soluțiile de management al sistemului, securității și stocării Symantec sunt distribuite în România de compania SolvIT Networks.