研究职员发现了一种先辈的恶意软件,它可以通过感染机构的OutlookWeb应用(OWA)邮件服务器来粉碎机构的网络。
机构网络新型攻击方式
根据Cybereason安全公司的专家们的消息,网络威胁者通过一个Web邮件服务器攻陷了一个不着名的机构网络,并对它举行了数个月的控制。受害者是一个总部在美国的中型公共服务公司,该公司接洽了Cybereason公司以观察大概的入侵方式。Cybereason在受害者的19000个端点上摆设其产物,以此辨认攻击源头并减轻攻击的影响。
在观察过程中,Cybereason发现了一个可疑的DLL文件,该文件被加载到了该机构的微软OutlookWeb应用(OutlookWebApp,OWA)服务器。该机构利用这个服务器来使得长途用户可以或许访问Outlook。
OWA是微软Exchange服务器(从5.0版本开始)的一个Web邮箱组件,它答应用户通过利用任何Web欣赏器来访问他们的Exchange服务器邮箱。而打击者在该机构的非警戒地区植入了一个可通过Web访问的服务器后门。
Cybereason发布的一篇陈诉中声明道:
“OWA是独一无二的:它是一个关键的内部底子办法,同时它也面对着互联网,使其作为内部、受掩护的DMZ以及Web之间的一个中心层。OWA的这个设置创建了一个抱负的攻击平台,由于服务器同时袒露在内部和外部。由于OWA认证是基于域根据的,以是获取访问OWA服务器权限的人将成为整个机构的域根据的拥有者。”
攻击原理先容
Cybereason的专家们发现了一个可疑的DLL“OWAAUTH.dll”,它与用于身份认证机制的合法OWADLL名字雷同。别的,专家们留意到一些奇怪的内容,由于这个DDL的代码是无符号的,而且它是从一个差别的文件夹举行加载的。
陈诉中报告道:
“黑客安装了一个带有后门的恶意OWAAUTH.dll,OWA利用该DLL作为身份验证机制的一部分,并负责验证环境中所用的活动目次(ActiveDirectory,AD)服务器用户身份。别的,恶意OWAAUTH.DLL还向IIS服务器中安装了一个ISAPI过滤器,并会过滤HTTP哀求。”
这种设置使得在SSL/TLS解密并提取用户凭据之后,黑客可以或许以明文情势得到全部哀求,网络威胁者在注册表中安装过滤器,以此确保长期性的感染,然后在服务器每次重启之后都会加载恶意代码。提取的身份验证凭据存储在一个加密的文本文件中。
专家们解密了文件,发现高出11000个属于被黑机构公司的凭据。
这些恶意代码提供了存在于目标体系中的完备功能性后门,它答应攻击者利用OWA服务器上的文件,并使其可以或许实行下令和恣意代码。Cybereason陈诉中继承报告道:
“根据界说,OWA要求机构界说一组相对宽松的限定;在这种环境下,OWA设置的方式答应以面向互联网的方式访问服务器,这使得黑客可以或许在几个月的时间段内不被检测到的环境下,对整个机构的环境创建长期控制。”
CopyrightYourWebSite.SomeRightsReserved.
京ICP备2023016396号-1PoweredByESCLINK.
我要评论