Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L'ANALISI TECNICA

Frebniis, il malware che abusa dei server Microsoft IIS per distribuire una backdoor: i dettagli

Attori malevoli stanno distribuendo un nuovo malware chiamato Frebniis che abusa di funzionalità dei serve Microsoft IIS per eseguire furtivamente comandi inviati tramite richieste web e distribuire una backdoor. Ecco tutti i dettagli tecnici e i consigli per mitigare la minaccia

Pubblicato il 20 Feb 2023

Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Frebniis malware

Il Threat Hunter Team di Symantec ha osservato un nuovo malware, ribattezzato Frebniis, che abusa di una particolare funzionalità del server web IIS (Internet Information Services) di Microsoft per distribuire una backdoor su sistemi target eludendo il rilevamento da parte degli strumenti di sicurezza.

La matrice del malware risulta al momento sconosciuta, ma sarebbe in grado di inserire del codice dannoso nel modulo legittimo FREB del server IIS per monitorare le richieste HTTP dell’attaccante ed eseguire furtivamente i comandi inviati.

Cos’è la funzionalità FREB di IIS

IIS, come accennato prima, è un server Web generico che viene eseguito su dispositivi Windows.

In particolare, IIS offre una funzionalità denominata FREB (Failed Request Event Buffering) che raccoglie metriche e informazioni sulle richieste web ricevute dai client remoti (indirizzi IP, numeri porta, intestazioni HTTP, cookie) aiutando gli amministratori di sistema a risolvere problemi attinenti a richieste HTTP non riuscite e recuperando da un buffer quelle che soddisfano determinati criteri.

Purtroppo, gli attori della minaccia stanno abusando proprio di questa funzione legittima per eseguire codice dannoso in reti precedentemente compromesse.

La tecnica malevola impiegata da Frebniis

La tecnica impiegata dal malware Frebniis prevede l’iniezione di codice dannoso nella memoria di un file DLL (iisfreb.dll) correlato alla funzionalità FREB utilizzata da IIS.

In pratica, garantendo che il tracciamento delle richieste non riuscite sia sempre attivo, il malware riesce a ottenere l’indirizzo di allocazione in cui è caricato il codice di buffering degli eventi FREB cercando da una tabella di puntatori a funzioni e sostituendo il puntatore della funzione che viene invocata ogni volta che un client web effettua una richiesta HTTP al server IIS con l’indirizzo del puntatore alla propria funzione con codice dannoso.

Tabella di puntatori a funzione utilizzata per il dirottamento (fonte: Symantec).

“Frebniis dirotta questa funzione iniettando il proprio codice dannoso nella memoria del processo IIS e quindi sostituendo questo puntatore a funzione con l’indirizzo del proprio codice dannoso. Questo dirottamento consente a Frebniis di ricevere e ispezionare furtivamente ogni richiesta HTTP al server IIS prima di tornare alla funzione originale.”, commenta il Threat Hunter Team di Symantec.

La compromissione consente così al malware di monitorare tutte le richieste HTTP e riconoscere quelle appositamente allestite e inviate dall’attaccante, consentendo l’esecuzione di codice in modalità remota.

Flusso di attacco (fonte: Symantec).

Funzionalità proxy ed esecuzione codice arbitrario

Secondo gli esperti, il codice inserito sarebbe una backdoor .NET che supporta un proxy e l’esecuzione di codice C# direttamente in memoria senza alcuna interazione umana e mantenendo la backdoor completamente invisibile.

In particolare, si legge nel rapporto che le istruzioni verrebbero fornite al malware tramite i parametri passati con richieste HTTP POST di autenticazione. Se il valore di una password (“7ux4398!”) viene passato come parametro nella richiesta HTTP, Frebniis decifrerebbe ed eseguirebbe i comandi scritti in una sezione specifica del codice iniettato e relativi all’eseguibile .NET con funzionalità backdoor.

La presenza di un secondo parametro HTTP fornito con una stringa codificata Base64 servirebbe poi per controllare la funzionalità proxy (consentendo agli attaccanti di raggiungere tramite il server IIS compromesso anche risorse interne alla rete target e non esposte su Internet) e l’esecuzione di codice remoto.

“Se viene ricevuta una chiamata HTTP a logon.aspx o default.aspx senza il parametro password, ma con la stringa Base64, si presume che la stringa Base64 sia codice C# che verrà eseguito direttamente in memoria.[…] Ciò consente a Frebniis di eseguire furtivamente codice arbitrario sul sistema”, si legge nel rapporto Symantec.

Raccomandazioni per mitigare il rischio

Sebbene sia ben noto al Team di Microsoft 365 Defender Research il fatto che gli attaccanti utilizzino sempre più le estensioni di Internet Information Services (IIS) come backdoor fornendo loro un meccanismo di persistenza, al momento della scrittura di questo articolo non risulta una risposta ufficiale di Microsoft in merito a questo particolare malware.

Anche se non è ancora chiaro quanto Frebniis sia effettivamente sfruttato né come ottenga l’accesso dei sistemi Windows con il server IIS in ascolto, una buona regola di sicurezza rimane sempre quella di tenere aggiornati i propri dispositivi per ridurre le possibilità di sfruttamento di vulnerabilità oltre ad a impiegare strumenti avanzati di monitoraggio del traffico di rete per aiutare a rilevare attività insolite come queste e controllare regolarmente i moduli IIS caricati sui server IIS esposti, in particolare i server Exchange, utilizzando gli strumenti esistenti nella suite di server IIS.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Resilienza infrastrutture critiche linee guida UE

  • linee guida

    Infrastrutture critiche, ecco come l’UE aumenterà la resilienza dei settori vitali

    15 Set 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • cyber-resilience-cybersecurity360 - Strategia nazionale di cyber sicurezza: focus, il rafforzamento della resilienza

  • sicurezza informatica

    Cyber resilience nell’era dell’autonomous IT: come superare l’alert fatigue

    14 Ott 2025

    di Mattia Lanzarone

    Condividi
  • Microsoft 365 e protezione dati, cosa possono imparare le aziende dal caso della Commissione europea

  • Garante europeo

    Microsoft 365 e protezione dati: 5 lezioni per le aziende sul caso della Commissione europea

    31 Lug 2025

    di Rosario Palumbo

    Condividi
  • Le migliori VPN per Windows

  • LA GUIDA

    Privacy online a rischio? Le migliori VPN per Windows

    16 Set 2025

    di redazione affiliazioni Nextwork360

    Condividi