研究职员 发现了一种先辈 的恶意软件,它可以通过感染机构的Outlook Web应用(OWA)邮件服务器来粉碎 机构的网络。
机构网络新型攻击方式
根据Cybereason安全公司的专家们的消息 ,网络威胁者通过一个Web邮件服务器攻陷了一个不着名 的机构网络,并对它举行 了数个月的控制 。受 害者是一个总部在美国的中型公共服务公司,该公司接洽 了Cybereason公司以观察 大概 的入侵方式。Cybereason在受害者的19000个端点 上摆设 其产物 ,以此辨认 攻击源头并减轻攻击的影响。
在观察 过程中,Cybereason发现了一个可疑的DLL文件,该文件被加载到了该机构的微软Outlook Web应用(Outlook Web App ,OWA)服务器 。该机构利用 这个服务器来使得长途 用户可以或许 访问Outlook。
OWA是微软Exchange服务器(从5.0版本开始)的一个Web邮箱组件,它答应 用户通过利用 任何Web欣赏 器来访问他们的Exchange服务器邮箱。而打击 者在该机构的非警戒地区 植入了一个可通过Web访问的服务器后门 。
Cybereason发布的一篇陈诉 中声明道:
“OWA 是独一无二的:它是一个关键的内部底子 办法 ,同时它也面对 着互联网,使其作为内部 、受掩护 的DMZ以及Web之间的一个中心 层。OWA的这个设置 创建了一 个抱负 的攻击平台 ,由于 服务器同时袒露 在内部和外部。由于 OWA认证是基于域根据 的,以是 获取访问OWA服务器权限的人将成为整个机构的域根据 的拥有 者。 ”
攻击原理先容
Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”,它与用于身份认证机制的合法 OWA DLL名字雷同 。别的 ,专家们留意 到一些奇怪 的内容,由于 这个DDL的代码是无符号的,而且 它是从一个差别 的文件夹举行 加载的。
陈诉 中报告 道:
“黑 客安装了一个带有后门的恶意OWAAUTH.dll ,OWA利用 该DLL作为身份验证机制的一部分 ,并负责验证环境 中所用的活动 目次 (Active Directory,AD)服务器用户身份。别的 ,恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器,并会过滤 HTTP哀求 。”
这种设置使得在SSL/TLS解密并提取用户凭据 之后,黑客可以或许 以明文情势 得到 全部 哀求 ,网络威胁者在注册表中安装过滤器,以此确保长期 性的感染,然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭据 存储在一个加密的文本文件中。
专家们解密了文件,发现高出 11000个属于被黑机构公司的凭据 。
这些恶意代码提供了存在于目标 体系 中的完备 功能性后门 ,它答应 攻击者利用 OWA服务器上的文件,并使其可以或许 实行 下令 和恣意 代码。Cybereason陈诉 中继承 报告 道:
“根据界说 ,OWA要求机构界说 一组相对宽松的限定 ;在这种环境 下 ,OWA设置 的方式答应 以面向互联网的方式访问服务器,这使得黑客可以或许 在几个月的时间段内不被检测到的环境 下,对整个机构的环境 创建 长期 控制。 ”
A professional permanent Hong Kong space provider!
蜀ICP备2024069684号 Powered By 小孩姐. Theme By EscSeo学习网
