惡意程序濫用微軟 IIS 功能在 Windows 上執行惡意代碼

安全公司賽門鐵克的研究人員發現一種惡意程序濫用微軟 IIS 的一項功能隱蔽的滲出數據和執行惡意代碼。微軟 IIS（Internet Information Services）是廣泛使用的 Web 服務器，它的一項功能叫 Failed Request Event Buffering（FREB），旨在幫助管理員診斷錯誤，FREB 能從緩存中將部分錯誤相關的請求寫入磁盤。黑客找到了濫用該功能的方法，攻擊者首先需要入侵運行 IIS 的 Windows 系統，啟用 FREB，通過將惡意代碼注入 IIS 進程內存劫持執行，它隨后就能攔截所有 HTTP 請求，尋找特殊格式的請求，這種特殊的請求能以隱蔽的方式執行遠程代碼，系統上沒有可疑文件或進程在運行。研究人員將這種惡意程序命名為 Frebniis。