新型Frebniss恶意软件对微软IIS服务器的攻击

关键要点

• Frebniss恶意软件通过Web请求实现隐秘命令执行。
• 攻击主要针对台湾地区的目标。
• 利用IIS的失败请求事件缓冲功能进行恶意代码注入。
• Frebniss支持远程连接、读取和写入Base64字符串的命令。

微软的Internet信息服务（IIS）服务器正遭受新的Frebniss恶意软件的攻击，该恶意软件通过Web请求实现隐秘的命令执行，据报道。这类攻击的目标主要集中在台湾，涉及利用IIS的失败请求事件缓冲（FREB）功能，该恶意软件能够注入恶意代码到控制FREB的DLL文件中，从而跟踪和拦截IIS服务器中的HTTPPOST请求，根据赛门铁克（Symantec）的报告。

研究人员发现，Frebniss支持多种命令，可以实现与远程系统的连接、读取基于远程系统的Base64字符串、将Base64字符串写入远程系统，以及关闭连接。报告中指出：“如果收到对logon.aspx或default.aspx的HTTP调用，但没有密码参数，而是带有Base64字符串，那么这个Base64字符串将被视为将在内存中直接执行的C#代码。该Base64字符串会被解码后进行解密（xor0x08），预期结果是一个包含要在’/doc’节点下的’data’属性中执行的C#代码的XML文档（例如：）。”

相关信息

攻击特征 | 说明
—|—
恶意软件名称 | Frebniss
攻击对象 | 微软IIS服务器
主要目标 | 台湾地区（如政府机构、企业等）
利用技术 | IIS失败请求事件缓冲功能，恶意代码注入

这一事件提醒我们，网络安全依然是一个不容忽视的问题，各组织应保持警惕并加强防护措施，确保信息安全。

通过了解Frebniss恶意软件的攻击方式和特性，我们能够更加有效地防范类似的网络安全威胁。