疑わしいプロセスなしで機能するFrebniis

Frebniisは新たに観測されているマルウェアです。
ターゲット環境はWindowsです。
内容を見てみましょう。

• 動作環境
  MicrosoftのWindows向けのWebサーバ機能であるIISが動作環境です。
• 悪用される機能
  IISにはいろいろな機能が搭載されています。
  そのなかにFailed Request Event Buffering (FREB) と呼ばれる機能があります。
  この機能は発信元の IP アドレスとポート、Cookie を含む HTTP ヘッダーなど、要求に関するデータと詳細を収集することができます。
  元々はこの機能はIISの失敗した要求のトラブルシューティングに使用されるものなのですがその機能が使い方を変えることで攻撃者にとって都合のよいものとなってしまっています。
  FREB機能はiisfreb.dllに実装されています。
  Frebniisの名前の由来はわかりませんが、FREB oN IISとかFREB aNd IISとかでしょうか。わかりませんが。
• IISの機能の転用
  FrebniisはFailed Request Tracingが有効になっていることを確認します。
  そしてFREB機能のロードされているアドレスを探しておきます。
  WebクライアントからIISに対してHTTP要求が行われるたびに、iisfreb.dll内の特定の関数ポインターがiiscore.dllによって呼び出されることを悪用します。
  Frebniisはあらかじめ悪意のあるコードをIISプロセスメモリに挿入しておき、WebクライアントからIISに対してHTTP要求があった際に呼び出されるアドレスを書き変えることで機能をハイジャックします。
  これにより、FrebniisはすべてのHTTP要求を密かに受信してHTTPヘッダの内容を読み取るなどができるようになります。
• IISの機能をマルウェア化
  IISの機能の転用の方法は確立しました。
  攻撃者はログインページへの通信を発生させます。
  その通信はPOSTとなっており、POST内容のなかにBase64の文字列を含めておきます。
  そして攻撃であることを示す文字列がPOST内容の中のパスワードの部分と一致すると、Base64のデータを復号化します。
  復号化されたデータは.NETの実行可能コードです。
  これがバックドアとして機能するものになっています。
• バックドアの姿
  機能としてはFrebniisはバックドアです。
  しかし見た目としては独立したプロセスになっていません。
  CLR（Common Language Runtime：共通言語ランタイム）と呼ばれる環境の中の機能として動作を開始します。
  そしてこのマルウェアの動作方式の場合動作開始までにファイル形式でマルウェアの本体が保持されるタイミングがありません。
  このため、いろいろなセキュリティ機構を提供する製品がありますが、これまで提供されてきたセキュリティ監視機能での検出はかなり困難な仕組みに仕上がっているといえそうです。

かなり危険な仕上がりになっているといえます。
このマルウェアの初期感染経路はまだ明らかになっていません。
対応として実施できることははっきりしていませんが、基本的な対策を徹底するということになると思います。

参考記事（外部リンク）：Frebniis: New Malware Abuses Microsoft IIS Feature to
Establish Backdoor
symantec-enterprise-blogs.security.com/blogs/threat-intelligence/frebniis-malware-iis