Trong ngữ cảnh: Kể từ NT 3.51 cũ kỹ được phát hành vào năm 1995, Windows luôn bao gồm một máy chủ web có thể mở rộng được gọi là Dịch vụ thông tin Internet (IIS). Mặc dù nó không hoạt động theo mặc định, nhưng nó có thể mở hệ điều hành trước các cuộc tấn công từ bên ngoài như cuộc tấn công mà Symantec đã phát hiện gần đây.
Backdoor.Frebniis, hay đơn giản là Frebniis, là một phần mềm độc hại tàng hình mới được phát hiện bởi các nhà nghiên cứu của Symantec. đòn bẩy một lỗ hổng trong IIS để đặt một cửa hậu vào các máy chủ web Windows. Tội phạm mạng không xác định đã tích cực khai thác các mục tiêu ở Đài Loan. Để lây nhiễm vào hệ thống, trước tiên tin tặc phải có quyền truy cập vào máy chủ IIS. Các nhà phân tích của Symantec vẫn chưa phát hiện ra cách thức những kẻ tấn công giành được quyền truy cập ban đầu.
Tuy nhiên, hoạt động bên trong của phần mềm độc hại là duy nhất. Frebniis lạm dụng một tính năng được gọi là Bộ đệm sự kiện yêu cầu không thành công (FREB), mà IIS sử dụng để thu thập dữ liệu và chi tiết về các yêu cầu, bao gồm địa chỉ IP gốc và cổng, tiêu đề en-HTTP với cookie, v.v. Sau đó, dữ liệu được thu thập có thể giúp quản trị viên khắc phục các yêu cầu không thành công. , tìm ra lý do cho các mã trạng thái HTTP cụ thể. Một tính năng khác, Theo dõi yêu cầu không thành công (FRT), cho phép quản trị viên xác định lý do tại sao yêu cầu kết nối mất nhiều thời gian để xử lý hơn bình thường.
Trước tiên, Frebniis đảm bảo rằng chức năng FRT được bật, sau đó truy cập bộ nhớ xử lý của máy chủ IIS trước khi chiếm đoạt mã FREB bằng mô-đun iisfreb.dll độc hại. Phần mềm độc hại thay thế tệp FREB ban đầu để Frebniis có thể “tàng hình” nhận và kiểm tra mọi yêu cầu HTTP từ máy chủ IIS.
Nếu nhận được một yêu cầu POST HTTP đặc biệt, Frebniis sẽ giải mã và thực thi mã .NET cửa hậu ban đầu được đưa vào bộ nhớ FREB. Sau khi hoạt động trong bộ nhớ, cửa hậu có thể nhận lệnh từ xa hoặc thậm chí thực thi mã độc.
Việc thực thi từ xa đạt được bằng cách diễn giải bất kỳ chuỗi mã hóa Base64 nào nhận được, mà cửa hậu giả định là mã C# có thể thực thi, để thực thi trực tiếp trong bộ nhớ. Bằng cách này, Frebniis tránh lưu dữ liệu dưới dạng tệp thực trên đĩa, hoạt động hoàn toàn bí mật.
Symantec lưu ý rằng Frebniis là một backdoor dựa trên HTTP tương đối độc đáo hiếm thấy trong tự nhiên. Phần mềm độc hại có hai giá trị băm dự trữ nó để phát hiện. Công ty khuyên nên có các định nghĩa về vi-rút và phần mềm độc hại mới nhất trong bộ bảo vệ Symantec (hoặc bất kỳ bộ nào khác) để chặn Frebniis.