Araştırmacılar, alışılmadık derecede gizli olan Windows arka kapısını ortaya çıkardı

Araştırmacılar, Microsoft Internet Information Services’teki (IIS) bir özelliği kötüye kullanarak verileri gizlice sızdıran ve Windows sistemlerinden kötü amaçlı kod yürüten akıllı bir kötü amaçlı yazılım parçası keşfettiler.

IIS, Windows aygıtlarında çalışan genel amaçlı bir web sunucusudur. Bir web sunucusu olarak uzak istemcilerden gelen istekleri kabul eder ve uygun yanıtı verir. Temmuz 2021’de ağ istihbarat şirketi Netcraft, 13,5 milyon benzersiz alana yayılmış 51,6 milyon IIS örneği olduğunu söyledi.

IIS, uzak istemcilerden alınan web istekleriyle ilgili ölçümleri ve diğer verileri toplayan Başarısız İstek Olayı Arabelleğe Alma adlı bir özellik sunar. İstemci IP adresleri ve bağlantı noktası ve tanımlama bilgileri içeren HTTP başlıkları, toplanabilecek verilere iki örnektir. FREB, belirli ölçütleri karşılayanları bir arabellekten alıp diske yazarak yöneticilerin başarısız web isteklerini gidermelerine yardımcı olur. Mekanizma, 401 veya 404 hatalarının nedenini belirlemeye veya durdurulan veya iptal edilen isteklerin nedenini belirlemeye yardımcı olabilir.

Suçlu bilgisayar korsanları, zaten güvenliği ihlal edilmiş bir ağın korumalı bölgelerine kötü amaçlı kod kaçırmak ve yürütmek için bu FREB özelliğini nasıl kötüye kullanacaklarını anladılar. Bilgisayar korsanları, aynı korunan bölgelerden veri sızdırmak için FREB’i de kullanabilir. Teknik, meşru eeb istekleriyle karıştığı için, güvenliği ihlal edilmiş ağa daha fazla girmek için gizli bir yol sağlar.

Bunu mümkün kılan istismar sonrası kötü amaçlı yazılım, Perşembe günü kullanımını bildiren Symantec araştırmacıları tarafından Frebniis olarak adlandırıldı. Frebniis önce FREB’in etkinleştirilmesini sağlar ve ardından IIS işlem belleğine kötü amaçlı kod enjekte ederek ve çalışmasına neden olarak yürütmesini ele geçirir. Kod yerleştirildikten sonra Frebniis, IIS sunucusu tarafından alınan tüm HTTP isteklerini inceleyebilir.

Symantec araştırmacıları, “Frebniis, IIS web sunucusu kodunu ele geçirerek ve değiştirerek, HTTP istek işlemenin düzenli akışını durdurabiliyor ve özel olarak biçimlendirilmiş HTTP isteklerini arayabiliyor” diye yazdı. “Bu istekler, gizli bir şekilde uzaktan kod yürütülmesine ve dahili sistemlere proxy yapılmasına izin veriyor. Sistemde hiçbir dosya veya şüpheli işlem çalışmayacak, bu da Frebniis’i nispeten benzersiz ve vahşi doğada görülen nadir bir HTTP arka kapısı türü yapıyor.

Frebniis’in çalışabilmesi için bir saldırganın öncelikle IIS sunucusunu çalıştıran Windows sistemini hacklemesi gerekir. Symantec araştırmacıları, Frebniis’in bunu nasıl yaptığını henüz belirlemedi.

Frebniis, sırasıyla oturum açma sayfaları oluşturmak ve varsayılan web sayfalarını sunmak için kullanılan logon.aspx veya default.aspx dosyalarını çağıran tüm HTTP POST isteklerini ayrıştırır. Saldırganlar, bu isteklerden birini göndererek ve “7ux4398!” parametre olarak. Böyle bir istek alındığında, Frebniis ana arka kapı işlevlerini kontrol eden .Net kodunun şifresini çözer ve yürütür. İşlemi daha gizli hale getirmek için kod, diske hiçbir dosya bırakmaz.

.NET kodu iki amaca hizmet eder. İlk olarak, saldırganların güvenliği ihlal edilmiş IIS sunucusunu, aksi takdirde İnternet’ten erişilemeyecek dahili kaynaklarla etkileşimde bulunmak veya bunlarla iletişim kurmak için kullanmalarına izin veren bir proxy sağlar. Aşağıdaki tabloda, yürütmek üzere programlandığı komutlar gösterilmektedir:

.Net kodunun ikinci amacı, IIS sunucusunda saldırgan tarafından sağlanan kodun uzaktan yürütülmesine izin vermektir. C# ile yazılmış kodu içeren logon.aspx veya default.aspx dosyalarına bir istek göndererek, Frebniis otomatik olarak kodu çözecek ve bellekte çalıştıracaktır. Bir kez daha, kodu doğrudan bellekte çalıştırarak, arka kapıyı tespit etmek çok daha zordur.

Şu anda Frebniis’in ne kadar yaygın kullanıldığı belli değil. Gönderi, arka kapıyla ilişkili iki dosya sağlama sağlar, ancak var olup olmadıklarını görmek için bir sistemde nasıl arama yapılacağını açıklamaz.