Microsoft IISのFREB機能を悪用してバックドアを仕掛けるマルウェアに注意

Symantecはこのほど、公式ブログ「Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor」において、Microsoft Internet Information Services（IIS）のFailed Request Event Buffering（FREB）と呼ばれる機能を悪用した新しいマルウェアが観測されたと伝えた。「Frebniis (Backdoor.Frebniis) 」名付けられたこのマルウェアは、IISのFREB内の関数ポインタを悪意のあるコードのアドレスに置き換えることで、外部から任意のコードが実行できるバックドアを仕掛けるという。

IISはWindows上で動作する標準のWebサーバ・ソフトウェア。IISには、失敗したリクエストの情報を記録するFREBという機能が備わっており、リクエストの発信元のIPアドレスやポート番号、HTTPヘッダなどの情報を確認して、リクエストが失敗した原因を後から検証することができる。